电信要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台,经过NAT转换后访问外网的内网的计算机的地址都变成了192.168.0.1而且MAC地址也转换成了ADSL的MAC地址,也就是说,从原理上讲,直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。它可能是采用多种方法探测用户是否用共享方式上网,从而进行限制的。
由于ADSL共享上网有几种方式,
一种是代理,一种是地址翻译(NAT),通过 HTTP 代理上网。局域网中开一台电脑做主机双网卡直接上网并安装 HTTP 代理服务器软件,其他计算机设置通过此 HTTP 代理上网。
这种方式上网要注意几个问题:
1.不是所有网络软件都支持 HTTP 代理服务器
2.如果想在内网架设服务器需要注意由于内部计算机没有到达外部的路由,所以端口映射的时候必须转发主机的IP地址而不能转发初始IP地址
因为这种方式上网有弊端,大多数用户都是采用NAT方式上网的,所以着重讲下NAT。
地址翻译(NAT)
一.电信通过MAC地址来判断你是否用了路由器。
检查同一IP地址的数据包中是否有不同的MAC地址,如果是则判定用户共享上网。破解的办法是把每台机的MAC地址改为一样.或是登陆路由器,进行“MAC地址克隆”功能,连接好路由器、猫、能上网的那台电脑,把MAC地址都修改为可以上网的那台电脑的,或是接两个路由器,就是在A路由器后面再接一个B路由器,所有的电脑都通过B路由器连接上网。A路由器上只连B路由器,其它的什么都不要连在A路由器上。这样电信很难通过查数据包的方式检查到有两台以上的电脑了,但坏处是BT和emule等软件通过两次端口映射,不知道还能不能高速起来,另外速度可能会有点下降
二、电信通过SNMP来判断你是否用了路由器
通过SNMP(简单网络管理协议)来发现多机共享上网。有些路由器和ADSL猫内置SNMP服务,通过扫描软件(ipscan、superscan......)扫描一下,发现开着161端口,161是SNMP(简单网络管理协议)的服务端口,难道是通过SNMP协议发现的主机数量,用xscan对猫进行了漏洞扫描,果然有默认密码,登陆到猫的管理界面但是找不到关闭SNMP服务的地方,看来是留的后门,由此基本可断定是通过SNMP协议发现的主机数。为了进一步证实,用SNMP的一个管理软件ActiveSNMP查看ADSL猫的连接情况,如图二所示,可以清楚地看出通过SNMP协议可以发现同时上网的主机数量。
解决办法:
如果该猫可以关闭SNMP协议,那就把SNMP用的161端口禁止就行了.使用路由器或打开ADSL猫的路由模式共享上网的朋友可以进入管理界面有关闭SNMP选项的关掉它。如果猫的管理界面无关闭SNMP选项的只好买一个没有SNMP服务的路由器,例如TP-LINK TL-R400,放到adsl moden和hub中间,如下图.在该路由器中再做一个NAT服务,这样进到ADSL猫中的就是一个地址,这样就解决了共享上网。 注意在路由器中要关闭SNMP协议。
三、电信通过网络尖兵来判断你是否用了路由器
监测并发的端口数,并发端口多于设定数判定为共享。
这是一个令人哭笑不得的设定,“网络尖兵”不停扫描用户打开的端口数,多于设定值的就判断是共享,有时连按几次F5键它是认为是共享,连单用户上网也受到了影响,这个就没法破解了(除非你把网络尖兵黑了),俺这里的解决办法是装成无辜的用户到ISP的客服电话大骂,并声明搞不好就换ISP,一会儿网络就正常了.
“网络尖兵”还使用了未知的方法从共享的计算机中探测到共享的信息,目前解决的办法是所有共享的客户机均要安装防火墙,把安全的级别设为最高,因条件有限,只试用了几种防火墙,发觉金山网镖V(http://www.gz-pet.com/Soft_Show.asp?SoftID=10)有用,把IP配置规则里面所有的允许别人访问本机规则统统不要,允许PING本机不要,防止ICMP,IGMP攻击也要勾选。如果是WINXP,要打开网卡的网络防火墙。
采取以上破解的办法后,在自己的局域网不能看到本机,而且WINXP打开网卡的网络防火墙后,在QQ不能传送文件,网速有所减慢,但总算又可以共享了,如果有好的办法,也请大家告知。
总的来说,“网络尖兵”还是一个不成熟的产品,主要是他对单用户上网也产生影响,浏览网页经常要刷新几次,有的网页比较复杂,要调用几个服务器文件时它也当你是共享,造成网页部分不能显示。并且由于“网络尖兵”不停扫描用户端口占用带宽,导致网速变慢. 解决方法:安装共享神盾软件 下载地址:http://www.sd002.com/download/shareshield.zip
共享神盾使用说明书
一、安装共享神盾2.5
1:全新安装
如果你的主机上没有安装过共享神盾以前的版本,那么请直接安装2.5版即可。安装完毕后,如果网络不通请重新启动电脑即可。 2:升级安装
如果你的主机上已经安装了共享神盾以前的版本,直接覆盖安装即可。 二、在宽带路由器上建立静态NAT端口(可以实现更好的突破效果,如果不设置也可以正常使用,请跳过此步骤)
登录宽带路由器,下图是测试用的TP-Link宽带路由器主界面:
4台机器需要共享上网,分别是:
在上图中,我们假设家庭一共有
172.168.0.2
172.168.0.3
172.168.0.4
172.168.0.5
我们在虚拟服务器(不同的宽带路由器可能叫法不同)这个页面,建立4个静态端口映射,这里的映射关系如下:
TCP 8002 à172.168.0.2
TCP 8003 à172.168.0.3
TCP 8004 à172.168.0.4
TCP 8005 à172.168.0.5
建立完毕后保存即可。 三:设置共享神盾 在需要共享上网的4台主机上分别安装共享神盾,然后启动神盾并选择对应的物理网卡,如下图所示: 172.168.0.2指定的映射端口8002,同理,如果是在172.168.0.3的机器上就要输入对应的8003端口,输入完毕,点击保存配置即可。如果你没有按照步骤二在路由器上设置静态端口映射,此处端口保持默认的0即可。 大家可以看到,这里需要输入刚刚在路由器上为 四、组网实例 下面以一个实例来进行解释说明,方便大家对照调整自己网络设置。 1.网络接入 网通512K ADSL宽带
2.网络构成
4台主机
3.网络设置详细情况 (1)4台主机的IP地址分别为:192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5,在这4台主机上全部安装共享神盾软件。 在宽带路由器(192.168.0.1)上建立4条静态端口映射:
TCP 8002 à 172.168.0.2
TCP 8003 à 172.168.0.3
TCP 8004 à 172.168.0.4
TCP 8005 à 172.168.0.5 (2)在4台主机的共享神盾上对应设置映射端口
|