网络实验四：sniffer实验_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
网络实验四：sniffer实验
阅读已结束，如果下载本文需要使用
想免费下载本文？
你可能喜欢Sniffer利用什么原理实现入侵检测功能_百度知道
Sniffer利用什么原理实现入侵检测功能
提问者采纳
入侵检测系统的概念入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。对于入侵检测而言的网络攻击可以分为4类：①检查单IP包（包括TCP、UDP）首部即可发觉的攻击,如winnuke、ping of death、land.c、部分OS detection、source routing等。②检查单IP包,但同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞,缓存溢出攻击等。③通过检测发生频率才能发觉的攻击,如端口扫描、SYN Flood、smurf攻击等。④利用分片进行的攻击,如teadrop,nestea,jolt等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类攻击,必须提前（在IP层接受或转发时,而不是在向上层发送时）作组装尝试。分片不仅可用来攻击,还可用来逃避未对分片进行组装尝试的入侵检测系统的检测。入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统。入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式,向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应（被动响应和主动响应）。信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测,而完整性分析则用于事后分析。可用5种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。入侵检测系统在发现入侵后会及时作出响应,包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动（如断开连接）、修正系统环境或收集有用信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。另外,还可以按策略配置响应,可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。 IDS分类一般来说,入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。不难看出,网络型IDS的优点主要是简便：一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用,不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及,这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。而尽管主机型IDS的缺点显而易见：必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。参考文献[7]对此做了描述,感兴趣的读者可参看。入侵检测系统的几个部件往往位于不同的主机上。一般来说会有三台机器,分别运行事件产生器、事件分析器和响应单元。将前两者合在一起,只需两台。在安装IDS的时候,关键是选择数据采集部分所在的位置,因为它决定了“事件”的可见度。对于主机型IDS,其数据采集部分当然位于其所监测的主机上。对于网络型IDS,其数据采集部分则有多种可能：（1）如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可；（2）对于交换式以太网交换机,问题则会变得复杂。由于交换机不采用共享媒质的办法,传统的采用一个sniffer来监听整个子网的办法不再可行。可解决的办法有：a. 交换机的核心芯片上一般有一个用于调试的端口（span port）,任何其他端口的进出信息都可从此得到。如果交换机厂商把此端口开放出来,用户可将IDS系统接到此端口上。优点：无需改变IDS体系结构。缺点：采用此端口会降低交换机性能。b. 把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。优点：可得到几乎所有关键数据。缺点：必须与其他厂商紧密合作,且会降低网络性能。c. 采用分接器（Tap）,将其接在所有要监测的线路上。优点：在不降低网络性能的前提下收集了所需的信息。缺点：必须购买额外的设备(Tap)；若所保护的资源众多,IDS必须配备众多网络接口。d. 可能唯一在理论上没有限制的办法就是采用主机型IDS。 通信协议IDS系统组件之间需要通信,不同的厂商的IDS系统之间也需要通信。因此,定义统一的协议,使各部分能够根据协议所制订的标准进行沟通是很有必要的。IETF目前有一个专门的小组Intrusion Detection Working Group (IDWG)负责定义这种通信格式,称作Intrusion Detection Exchange Format。目前只有相关的草案（internet draft）,并未形成正式的RFC文档。尽管如此,草案为IDS各部分之间甚至不同IDS系统之间的通信提供了一定的指引。IAP(Intrusion Alert Protocol)是IDWG制定的、运行于TCP之上的应用层协议,其设计在很大程度上参考了HTTP,但补充了许多其他功能（如可从任意端发起连接,结合了加密、身份验证等）。对于IAP的具体实现,请参看 [4],其中给出了非常详尽的说明。这里我们主要讨论一下设计一个入侵检测系统通信协议时应考虑的问题：（1）分析系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输（同时防止主动和被动攻击）。（2）通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外措施保证系统正常工作。入侵检测技术对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类：一种基于标志（signature-based）,另一种基于异常情况(anomaly-based)。对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出）,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知得攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以（至少在理论上可以）判别更广泛甚至未发觉的攻击。如果条件允许,两者结合的检测会达到更好的效果.入侵检测系统技术和主要方法 入侵检测系统技术可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。发现入侵检测一般采用如下两项技术：① 异常发现技术,假定所有入侵行为都是与正常行为不同的。它的原理是,假设可以建立系统正常行为的轨迹,所有与正常轨迹不同的系统状态则视为可疑企图。异常阀值与特征的选择是其成败的关键。其局限在于,并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。② 是模式发现技术,它是假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征,所有已知的入侵方法都可以用匹配的方法发现。模式发现技术的关键是如何表达入侵的模式,以正确区分真正的入侵与正常行为。模式发现的优点是误报少,局限是只能发现已知的攻击,对未知的攻击无能为力。
入侵检测的主要方法 静态配置分析静态配置分析通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（系统配置信息）,而不是系统中的活动。采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹,这可通过检查系统的状态检测出来；系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施；另外,系统在遭受攻击后,入侵者可能会在系统中安装一些安全性后门以方便对系统进行进一步的攻击。所以,静态配置分析方法需要尽可能了解系统的缺陷,否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。
提问者评价
谢谢了~唔该晒
来自团队：
其他类似问题
为您推荐：
您可能关注的推广
入侵检测的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁用心创造滤镜
扫码下载App
汇聚2000万达人的兴趣社区下载即送20张免费照片冲印
扫码下载App
温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
网上很多人说的电信检测路由的方法都是胡乱猜测，下面的方法是比较正确的。
从某些渠道获知，电信采取对ADSL用户内网主机个数的检测，根本不是通过什么SNMP协议等方法，而通过修改MAC地址的方法来防止检测也是一个很荒谬的流言。
而采取cookie的方法目前来说网页劫持比较多，这样做的同时除了可以获取到主机的个数，而且可以像广州有线电视无耻的插广告的方式，来插入垃圾网页强制要求用户浏览。
　　接下来就开始说明一下广州电信是如何拦截用户的网页浏览的。
　　测试的环境： 浏览器ie 6.0 抓包工具： sniffer pro 4.7 adsl路由上网
　　测试步骤：重新拨号，用浏览器打开网页，同时运行抓包工具分析整个访问流程。
　　如果是正常的网页访问想必大家都知道就2个步骤：
　　步骤1：客户端向服务器发出访问请求
　　步骤2：服务器向客户端发回网页数据
但是在这次抓包过程中，却发现整个访问的步骤多了很多大体步骤如下：
　　步骤1：客户端向google服务器发访问请求（google服务器的IP为64.233.189.104）
　　步骤2：怪事来了！google服务器竟然发过来一个命令要求
　　 客户端带着某种参数去访问IP地址为59.42.71.199的服务器。
　　步骤3：于是客户端向IP 为59.42.71.199的服务器发出带参数的访问请求，
　　步骤4：IP为59.42.71.199的服务器返回数据给客户端（返回的数据包含2个功能，一个是在客
　　 户端设置了一个cookie文件，一个是让客户端重新访问)
　　步骤5：于是客户端又傻忽忽的去访问google服务器；
　　步骤6：google服务器给客户端返回正常的网页数据。
　　经过查询59.42.71.199的IP是广州电信的ip，而且该主机我也扫描过了，是一台windows2003+II6的服务器，服务器名是gz-web（我想一般人是不会用这个机器名的吧。），而且本人的主机到该服务器只需要10跳，和202.96.128.68广州的域名服务器的跳数一样，那么是不是电信的搞的服务器，呵呵。。。。。我就不多说了。
　　以上不难看出我们在访问google的时候，出现了异常，其中关键在那里呢，就在步骤2！，当我们正常的去访问某个网站的时候（比如google)，这时候，电信拦截了这个客户端的访问请求，并伪造出了这个网站给客户端的返回数据，欺骗客户端去访问电信指定的一个垃圾或恶意的网站，在客户端访问网站的同时给在客户端上生成相当于验证码的cookie,从而获取用户信息或其他不可告人的目的，当他们目的达到后，又欺骗客户去重新访问正常的网站并不再搞拦截欺骗。
　　那么通过cookie来获取内网主机个数的原理是什么的，这个就我个人看法是，要求通过对内网所有的用户的网页劫持，强制要求所有用户去访问某个恶意的网站，并生成cookie种到用户的
　　主机内。而每个cookie的内容在每台主机都是不一样的，这样如果在某个时间段内，有相同的ip，但是有5个不同的cookie来访问过这个恶的网站，那么马上就可以分析出该ip内至少有5台主机。
　　但是这里我们需要注意的几个方面是：
　　一，电信不会拦截所有的网站，主要对大家经常使用的网站进行拦截欺骗，
　　二，电信也不会一直对某个用户进行拦截，一般是用户拨号上网后，第一次访问网页时进行拦截，以后不定期的或周期性的对客户进行拦截。
　　三，个人信息隐私问题，再在这里用户访问网页所有的动作，电信全部可以记录下来。
　　相必我们都记得索尼就曾经在光盘中加入防止盗版的信息，遭遇了巨额赔款。中国电信的此举显然也是严重侵犯了用户的隐私，若遭遇网民的集体诉讼...............................
反正我是不太看好！。
　　这个就是关键的第二步
　　******************内容*************************
　　&HTML&
　　&head&
　　&title&
　　&/title&
　　&META HTTP-EQUIV="Pragma"
CONTENT="no-cache"&
　　&META http-equiv="Content-Type"
content="text/charset=gb2312"&
　　&/head&
　　&body&
　　&iframe width=0 height=0 style="display:
width:0height:0"src="http://59.42.71.199/ndatin.aspx?&m=4&m=ABZFhOb.........tdVdVkyOXRMdz09"&
　　&/iframe&
　　&/body&
　　&/html&
　　********************************************************
　　大家请注意“ width=0 height=0 style="display: width:0
height:0px” 这个东西，也就是说大家访问新的网站打开的新窗口的长宽都是 0！ 也就是是说新打开的窗口
我们是看不到的！
　　这是第4步骤：目的是设置cookie，并让客户端重新访问原网站。
　　。。。。。。。。。。。。。。。。。。内容。。。。。。。。。。。。。。。。。
　　HTTP/1.1 200 OK
　　Date: Tue, 18 Jul :14 GMT
　　Server: Microsoft-IIS/6.0
　　X-Powered-By: ASP.NET
　　Set-Cookie: ASP.NET_SessionId=bz1XXXXXXXXX; path=/
　　Set-Cookie: ExpCookieTicket2005=K6XXX...XXXXkg==;
　　。。。。在这里给客户设置cookie。。。。
　　expires=Fri, 28-Jul-:14 GMT; path=/
　　Cache-Control: private
　　Expires: Mon, 17 Jul :14 GMT
　　Content-Type: text/ charset=utf-8
　　Content-Length: 246
　　&HTML&
　　&HEAD&
　　&META HTTP-EQUIV="Pragma"
CONTENT="no-cache"&
　　&script&
　　 window.setTimeout("top.location.href =
'/';", 800);
　　****用这个指令让用户重新访问正常网站****
　　catch (e)
　　&/script&
　　&title&&/title&
　　&/HEAD&
　　&body&
　　&/body&
　　&/HTML&
　　***************************************
这是别人分析出的IPID检测共享上网的方法：
因自己专业原因，家里有4台电脑，结果就收到电信强制发来的页面，称什么“我公司检测到您使用了多台机器共享上网，超出您申请的宽带接入使用许可。因此暂时终止您的上网服务，请尽快致电10000与我公司联系恢复服务”。上网先搜索看有没有办法破解，果然，TP－LINK针对这个问题提供了TL-
R402M V2版本路由器升级软件
，可惜我不是用的这款路由器，看来得自己动手破解了。 于是我借了一台路由器，
升级后来分析他们之间差异,这样就可以着手破解了。
　　大家共享上网，一般都是用路由器作NAT、NAPT方式的IP地址转换，把多个内网地址转换成一个公网IP地址。
　　路由器或者代理只是对IP地址作了转换，从外部来看是看不出来与普通的IP包有什么不同的，那么是如何检测到的呢，用IP协议构建的互联网，一共有5层结构，电信能获取得只能是第三层到第五层，至于网上有TX说的什么伪造MAC地址的办法肯定不行，MAC地址出了路由器就被重新封装了，电信根本拿不到。至于应用层分析，狗的这层千差万别的应用，他们也更本没这个技术能力来确定我们机器的数量。看来只有分析IP和TCP包头了，仔细分析IP报头看看到底有那些信息可能泄漏我们内网机器得数量。看一下IP报文的结构：
　　0 4 8 16 31
　　版本 首部长 服务类型 总长度
　　标识 标志 片偏移量
　　寿命 协议 首部校验和
　　源端IP地址
　　目的端IP地址
　　长度可变的任选字段 填充
　　版本：IP协议的版本，大家都是4。
　　首部长度：报头首部的长度，4字节的整倍数。
　　服务类型（TOS）：每个机器都一样，用来表示优先级。
　　总长度：整个报文首部和数据的长度。
　　标识（identification）：数据报的标识，用来标识出数据长度超过MTU分片时，进行重新组装数据的位置标识。这部分可以用来分析共享上网的特征。
　　标志：有MF和DF分别标志分片结束和不能分片。
　　片偏移： 长报文分片后，在原报文中的位置。
　　生存时间（TTL）：数据报在网络中的寿命。
　　协议： 携带数据使用的协议。
　　首部校验和：报文首部的校验信息。
　　源地址：4字节源IP地址。
　　目的地址：4字节目的地址。
　　从IP报头的组成来看，只有可能携带内网信息的就是“标识（IPID）”，在每一台内网机器作地址转换时，IPID的序号是没变化的，而每台机器又是随机从一个数开始，有规律单调增加，看来根据这个ID的不连续来判断机器的数量。
抓包看看，果然：
　　12:19:41..10.49.204.61993 &
10.199.201.37.http: . [tcpsum ok] ack
win 64240 (DF)
(ttl 127, id 40255, len 40)
　　12:20:23..10.49.204.62017 &
10.199.201.37.http: . [tcp sum ok] ack 1 win 64240 (DF) (ttl 127,
id 40756, len 40)
　　12:21:37..10.49.204.62216 &
10.54.226.252.http: S [tcpsum ok] :(0) win
16384 (DF) (ttl 127, id 57601, len48)
　　12:21:40..10.49.204.61993 &
10.199.201.37.http: . [tcpsum ok] ack
win 64240 (DF)
(ttl 127, id 41427, len 40)
　　12:22:06..10.49.204.61993 &
10.199.201.37.http: . [tcpsum ok] ack
win 64240 (DF)
(ttl 127, id 41671, len 40)
　　12: 23:10..10.49.204.62017 &
10.199.201.37.http: . [tcpsum ok] ack 1633741 win 64240 (DF) (ttl
127, id 42293, len 40)
　　12:24: 00..10.49.204.61993 &
10.199.201.37.http: . [tcpsum ok] ack
win 64240 (DF)
(ttl 127, id 42632, len 40)
　　12:24: 24..10.49.204.61993 &
10.199.201.37.http: SFRPW[bad tcp cksum 1748!]
win 46144urg 3585 (DF) (ttl
125, id 42893, len 40)
　　12:25:05..10.49.204.62259 &
10.200.222.45.http: P [badtcp cksum 6be7!] ack 1 win 19652 (DF)
(ttl 127, id 1673, len 40)
　　12:25:53..10.49.204.61993 &
10.199.201.37.http: . [tcpsum ok] ack 940080 win 64240 (DF) (ttl
127, id 43799, len 40)
　　12:25:56..10.49.204.61993 &
10.199.201.37.http: . [badtcp cksum 579d!] ack 1019539 win 17520
(DF) (ttl 125, id 43846, len 40)
　　12:25: 56..10.49.204.62017 &
10.199.201.37.http: E [badtcp cksum 8380!]
:(12) win 11414 urg 5633 (DF) (ttl125, id
43859, len 40)
　　12:26:05..10.49.204.62259 &
10.200.222.45.http: R [tcpsum ok] :(0) win 0
(DF) (ttl 127, id 1731, len 40)
　　有三个变化范围的IPID序号，彩色标记出来的IPID序列号的变化很有规律，一定范围内变化的报文就是由一台机器发出的，嘿嘿，根据这个因此可以判断有三台机器共享上网。
　　再看看TCP头里面有什么东西可以看看，抓包来看，居然Windows将每个TCP的包头中的可选扩展段用来打标每台机器的时间戳，想必我们每台机器的时间不会都调得如此精准，每个机器发出的时间戳的误差不会完全相同，看来利用这个时间戳也可以大致判断内网的机器数量。
很多人说打开网页出现了下面这个页面：亲爱的用户:
您好!我公司检测到您使用了多台机器共享上网，根据公安部门对互联网信息安全管理的相关规定，不允许宽带私自串接。为了做好网络安全管理工作，切实保证您的上网质量及合法权益，请您切断非正式注册用户接入（切断非正式注册用户后您将能正常上网）。如有其他疑问，请咨询电信客服热线10000。感谢您对我公司的支持！
这个页面是怎么来的呢？
下面这个方法是我和一群做小区宽带的山寨ISP长期研究的结果，电信显示上面页面就是这个方法，不过我们是用来给快到期的用户下发继费通知的！（相比之下山寨寨主们比电信要厚道多了）
其实在检测到用户有用路由器带多个用户之后，要让用户显示这个页面就很简单了。
电信现在基本上是pppoe认证，认证过程是：用户向网络广播一个pppoe server(BRAS)
发现包，当服务器(BRAS)收到这个包后马上回复，用户向收到的反应最快的一台服务器(BRAS)发出认证请求，然后把用户名密码发给服务器(BRAS)，服务器(BRAS)再把用户名密码发给radius服务器来验证用户的合法性，验证成功radius
把用户的属性（Profile)下发给pppoe server(BRAS).
如果确定用户用路由器带了多机，就在radius 里面修改用户的属性（Profile)，标记为用路由用户。
然后用户在下一次来验证时，radius下发用户属性时，下发一个特定段的IP给用户，这个ip也是公网ip可以正常访问公网。
只不过在访问web服务时，打开所有的请求都被重定向到上面那个提示页面上。
方法得简单只要在路由上加一条规则：
chain=dst-nat src-address-list=（radius下发的特定ip 段） protocol=tcp
dst-port= 80 action=dst-nat dst-address=提醒服务器ip dst-port= 80
意思是：把所有ip地址是特定段的目的端口为80协议为tcp的请求重定向到提醒服务器上。这样打开任何网站都会显示上面的内容。
要解决这个很简单，使用代理服务器就行了，不过使用代理服务器打开网站比较慢，而且不稳定。当然如果自己在另外一个地方有带宽资源的话可以在那里架一个代理。
还中以用其它的自动代理的软件，不过有很多软件现在都不太好使，好使的又基本上都是那些打开反动网站的工具。
当然还可以用vpn等来访问网站。
关于怎么样解决防止电信通过cookies 来检测内网机器数量暂时还没想到办法，网上的山寨主们正在想办法。
我暂时提供一个防止cookies检测的方法，不过要像前面说的那样用sinnfer抓包，找出检测的那个服务器的IP.
找到ip后 设置一条这样的防火墙规则：chain=forward dst-address=检测服务器ip protocol= tcp
dst-port=80 content=cookies acction=drop
在一般稍好一点的带内容滤的防火墙上设置为，禁止访问外网的ip检测ip服务器的ip的数据包里面带有cookies的包通过。有这个功能的路由器可以试试。
现阶段最有效的办法就是多打10000号反应网速慢，上不了也打电话，死活不承认共享上网，据说电信之所以没有完全封路由不是因为技术上做不到，而是因为：电话被打爆，设备不敢开。
网上说的有效的能够共享上网的方法。
一、路由器
一般路由上网方式有：
INTERNET——路由（HUB）——PC 1 |___________PC 2 |___________PC 3 ……
只需修改为
INTERNET——路由（HUB）——路由（HUB）——PC 1 |___________PC 2 |___________PC 3
也就是两个路由
这样就OK了
二、升级路由器版本
在路由器公司主页下载更新程序进行升级
部分路由可通过升级进行躲避
也可以购买新路由例如BR303 203（华为）
三、通过安装软件让电信检测不出来，网上有个软件叫
共享神盾，有一部分原理是很对的，电信如果不是用cookies来检测就应该能躲过检测，大家可以试试。
--------------------------------------------------------------------------------------------------
欢迎关注我的微博&&&&
& 您的回复是我发帖的动力
阅读(5317)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'全面解析电信如何检测用户路由共享上网+解决办法',
blogAbstract:'\n\t\t\t
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}