首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
宝塔
V2EX  ›  宽带症候群

怎么避开校园网对路由器的检测

  •  
  •   Benson1212 · 2018-09-22 20:36:58 +08:00 · 11598 次点击
    这是一个创建于 424 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT,广州某大学使用的是广州天翼校园宽带,认证方式是网页认证,不需要绑定 MAC 和 ip 地址,但校园网会对路由器进行检测,想问大家有什么方法可以避开校园网对路由器检测吗?

    (认证页面: https://i.loli.net/2018/09/22/5ba63718f0035.png
    54 回复  |  直到 2018-10-15 14:31:09 +08:00
        1
    oovveeaarr   2018-09-22 20:49:33 +08:00   ♥ 6
    深信服侵入式检测,Android 和 iOS 不要一起连
    如果不给连手机的话,手机也不要连,手机和电脑通过 UA 检测
    电脑和电脑检测通过 HTTP 劫持检测,屏蔽 TTL 为 127、189 的包就好,把防火墙加入路由器

    iptables -I FORWARD -p tcp -m tcp --sport 80 -m u32 --u32 "5&0xFF=0x7F" -j DROP
    iptables -I FORWARD -p tcp -m tcp --sport 8000 -m u32 --u32 "5&0xFF=0x7F" -j DROP
    iptables -I FORWARD -p tcp -m tcp --sport 8080 -m u32 --u32 "5&0xFF=0x7F" -j DROP
    iptables -I FORWARD -p tcp -m tcp --sport 80 -m u32 --u32 "5&0xFF=0x80" -j DROP
    iptables -I FORWARD -p tcp -m tcp --sport 8000 -m u32 --u32 "5&0xFF=0x80" -j DROP
    iptables -I FORWARD -p tcp -m tcp --sport 8080 -m u32 --u32 "5&0xFF=0x80" -j DROP
    logger -t " [防火墙规则] " "防深信服劫持完成"
        2
    iwtbauh   2018-09-22 20:50:36 +08:00 via Android
    最简单的方法,路由器上开个代理服务器,关闭 nat,然后都连代理服务器用
        3
    oovveeaarr   2018-09-22 20:51:01 +08:00
    @oovveeaarr #1 噢对了,如果是 padavan 的话,选择始终不要减小 TTL
        4
    TKzero   2018-09-22 20:53:17 +08:00 via Android
    那通过掌上大学客户端的是什么认证?可以破解吗
        5
    Benson1212   2018-09-22 21:03:12 +08:00
    @TKzero 也是电信的认证,只不过是不同的而已,我也不清楚为什么会有那么多种认证
        6
    Benson1212   2018-09-22 21:05:13 +08:00
    @oovveeaarr 道理上,路由器上任意一部设备通过网页认证,路由器下的任何一部设备都可以用网了。。。这防火墙的规则直接添加进去就可以了吗
        7
    Benson1212   2018-09-22 21:07:11 +08:00
    @iwtbauh 普通路由器怎么开代理,还是说要网件华硕刷梅林才可以开
        8
    iwtbauh   2018-09-22 21:12:14 +08:00 via Android   ♥ 1
    @Benson1212 普通路由器肯定没法开,需要能刷 openwrt 等的
        9
    illl   2018-09-22 21:21:11 +08:00 via iPhone
    我学校的是 dr.com ( x 版)也开了防私接检测。初步测试 Apple 设备流量全部走代理是不会被检测出来,安卓设备没条件检测。防私接的检测也存在误报(据其他人反映)。
        10
    celeron533   2018-09-22 21:38:42 +08:00
    以前听说路由器下再级联路由器能躲过。毕竟做了两次 NAT。
        11
    illl   2018-09-22 21:48:29 +08:00
    @celeron533 我试过了,不可以绕过,依旧被检测出来了,怀疑已经对流量进行了分析。
        12
    ypx5   2018-09-22 21:50:57 +08:00
    @oovveeaarr 我们学校用的也是深信服防共享,网上查了一下好像说的很牛逼啊,难道就是通过简单的 ttl 来检测路由器共享的???这个防火墙规则实测有效吗?
        13
    oovveeaarr   2018-09-22 23:06:26 +08:00
    @Benson1212 #6 是的,不过你得抓包下,看看配置是否一样的。

    @ypx5 #12 UA 检测,HTTP 劫持出一个 flash 做机器特征码识别,目前只看到这两种,用肯定是有用的。
        14
    Benson1212   2018-09-22 23:13:31 +08:00
    @oovveeaarr 麻烦啊。。。感觉不会。。
        15
    moposx   2018-09-22 23:18:37 +08:00 via Android
    我们是 h3c inode,portal 认证是深澜软件...
    依我看我们学校根本不检测...
        16
    eag73   2018-09-23 00:55:04 +08:00
    @Benson1212 刚好最近遇到相关问题,请教一下大神,路由器桥接无密码的公共 WIFI 之后,能通过设备验证上网,但信号源的信道经常变动导致断网,这个怎么破?路由刷的是 Padavan。
        17
    ksa909409531   2018-09-23 01:33:22 +08:00
    原来是广科的师弟
    宽带的账号可以在 N 台机上登陆,不会挤下线
        18
    yingfengi   2018-09-23 01:46:05 +08:00 via Android
    @ypx5 @oovveeaarr 没那么简单,有流量特征检测的。
        19
    Mijjj   2018-09-23 02:35:12 +08:00 via iPhone
    我们学校是锐捷,曾经试过安卓和 iOS 同连上路由器一个小时后发现被拉黑名单,现在一直多台 iOS 加 pc 以及几个智能电器,一年多了没啥问题,坐标暨大。
        20
    ech0x   2018-09-23 08:00:44 +08:00 via iPhone
    @Mijjj 没有改动配置吗?
    我以前试过,把最后从 Wi-Fi 走的流量全部打到 ss-redis 上,然后再打到 shadowsocks 上,还是会有问题。
        21
    ech0x   2018-09-23 08:04:00 +08:00 via iPhone
    @illl
    @celeron533 我这里是锐捷,我用 Mac 自带的网络分享功能从来没有问题,也不知道为什么。
        22
    ech0x   2018-09-23 08:05:08 +08:00 via iPhone
    @ech0x 可能是因为我有个室友用的是有线网的问题,我最近重新试试。
        23
    shm7   2018-09-23 08:24:57 +08:00 via iPhone
    哎,双十一联通 200M 只要 288,为啥一定要用天翼。各位还在上学要被学校坑啊,多花点时间看看书,以后一个月工资多出来的,就抵上四年网费了
        24
    EthanZhuXE2V   2018-09-23 08:32:26 +08:00 via Android
    以前用的淘宝买的破解路由器,水星的辣鸡路由器刷的,卖两百多块😕
        25
    Benson1212   2018-09-23 08:57:49 +08:00
    @eag73 这个我也不清楚。。。如果所桥接的 wifi 频繁变换信道导致频繁掉线,那这个 wifi 下的客户端也会频繁掉线吧。。。
        26
    Benson1212   2018-09-23 08:59:06 +08:00
    @ksa909409531 啊哈哈是,只不过学校还会对路由器检测,检测到一次,封网 4 个小时
        27
    Benson1212   2018-09-23 09:00:13 +08:00
    @shm7 学校只能用电信的校园宽带啊。。。
        28
    illl   2018-09-23 09:19:43 +08:00 via iPhone
    @ech0x 学校上了硬防,感觉都会受影响
        29
    ech0x   2018-09-23 09:29:56 +08:00
    另一个有意义的讨论 /t/384721
        30
    chongdianbao   2018-09-23 10:35:20 +08:00 via Android
    像我学校是后来有人工信部投诉解决的,都不需要涉及技术问题
        31
    Kagari   2018-09-23 10:50:21 +08:00 via Android
    @oovveeaarr 不怕用户体验的话直接把所有 UA 都改成一样的,会导致部分 app 出错
        32
    shm7   2018-09-23 11:05:59 +08:00 via iPhone
    @Benson1212 抱歉 选择性的无视我吧。
        33
    oovveeaarr   2018-09-23 11:45:30 +08:00
    @yingfengi #18 流量特征检测这个感觉是玄学
        34
    yingfengi   2018-09-23 14:04:08 +08:00 via Android
    @oovveeaarr 我上架了挺多台 AC,还算了解,确实检测的到。不然怎么能叫上网行为管理
        35
    bankroft   2018-09-23 15:01:04 +08:00 via Android
    有的是多设备同时存在流量就封,初步判定是根据 mac
        36
    oovveeaarr   2018-09-23 15:07:51 +08:00
    @yingfengi #34 开了的话,我觉得就是基于 DPI 方面,但是 DPI 方面误报非常高呀。最常用的基于 TCP 包时序检测,还有 timestamp,直接通过楼上各位说的通过路由器代理服务器就可以解决。简单地说就是把 FORWARD 动作全部取消,这类 DPI 就基本完全失效了。
    其实这些设备说是行为管理,实际上更倾向于行为检测+人工行政手段干预一些,格则越严格误报率越高,学校一般这么搞是会被投诉的,所以我觉得大部分策略都没开这么严格。
        37
    yingfengi   2018-09-23 16:10:46 +08:00 via Android
    @oovveeaarr 检测手机端 APP 的流量,同时检测到手机端 APP 和 PC 端 APP 就认为是共享了。
    同时私接路由,代理也能检测。
    但是这种一般是企业场景才用的,学校啥的这种,按理说不会去用这个,用的话应该也局限于微机教室这种地方。
    现在学生宿舍的网络不应该直接丢给运营商去搞吗
        38
    sky92682   2018-09-23 16:38:17 +08:00
    全局飞机不行吗?
        39
    Cu635   2018-09-23 16:42:17 +08:00
    换一个不检测路由的学校。
        40
    Mijjj   2018-09-23 16:44:57 +08:00 via iPhone
    @ech0x 没有改动,用老毛子的 mentohust
        41
    Benson1212   2018-09-23 16:51:02 +08:00
    @Cu635 我去。。。
        42
    ksa909409531   2018-09-23 17:18:38 +08:00
    @Benson1212 封网了直接换一个 IP 就好了,再过两个月学校就不检测路由器了
    我在学校的时候,把路由器的 dhcp 关了,把网线插到 lan 口上当无线交换机用
        43
    eag73   2018-09-23 19:21:56 +08:00 via iPhone
    @Benson1212 它好像是有几个信号,经常是两到三个。手机直连它的 WiFi 没有问题。感谢~
        44
    goofool   2018-09-23 19:45:25 +08:00 via Android
    路由器上起一个透明代理是不是可以解决?
        45
    guoyijun163   2018-09-23 19:51:08 +08:00
    我以前是家里放一个 openwrt 路由器……当 pptp server,宿舍里放一个 openwrt 路由器当 pptp client,PPTP 没有建立成功时候不允许下级设备访问网络,完美。
    (那时候家里上行 8M,学校下行 10M,同城)
        46
    ech0x   2018-09-24 10:23:22 +08:00
    @yingfengi #37 我们学校以前就是普通的拨号上网,后来因为《信息安全法》什么的,为了实名制搞了这个。
        47
    yingfengi   2018-09-24 17:13:13 +08:00 via Android
    @ech0x 这是被代理商忽悠了,什么集中管控,行为管理,上网审计 balabala。你干啥了都知道
        48
    wonathan   2018-09-26 09:16:16 +08:00
    openwrt 我记得应该有插件就可以完美使用了
        49
    Benson1212   2018-09-26 15:11:33 +08:00 via iPhone
    @wonathan 什么插件…
        50
    Benson1212   2018-10-02 14:02:26 +08:00 via iPhone
    顶帖
        51
    tingfen   2018-10-07 07:29:51 +08:00 via iPhone
    所以最后解决了么
        52
    ryahcs   2018-10-08 22:43:10 +08:00
    @oovveeaarr 感谢,我这儿( openwrt )使用了这个规则之后安卓和 iOS 可以一起连了,但过一会还是会断网。
    用 ttl+1 似乎也不管用。
        53
    oovveeaarr   2018-10-08 22:48:15 +08:00
    @ryahcs #52 android 和 ios 是通过 ua 检测的,除了全局挂代理以外暂时无解哦
        54
    Benson1212   2018-10-15 14:31:09 +08:00 via iPhone
    @tingfen 没有解决
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2465 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 40ms · UTC 14:31 · PVG 22:31 · LAX 06:31 · JFK 09:31
    ♥ Do have faith in what you're doing.