wht73zy88 发表于 2004-11-17 07:13:31

首先声明 此帖来自 www.net130.comISP如何检测控制多机共享ADSL连接      ADSL给大家上网带来的极大地方便,许多家庭都有好几台计算机,通过ADSL共享上网的方式可以各自上网,互不干扰,可最近很多朋友告诉我,如果只有一台机子访问互联网,一切正常,若两台机子都要访问互联网,则都打不开网页,打听来的消息说,电信新装网络硬件:网络尖兵。 上网查了一下关于网络尖兵的资料,只提到了实现的功能,没有提到实现原理,要想解决不能共享上网必须摸清它的工作原理,ADSL共享上网有两种方式,一种是代理,一种是地址翻译(NAT),大家常说的路由方式其实就是NAT方式,其实路由和NAT的原理还是有区别的,这里不作讨论,现在的ADSL猫一般都有NAT的功能,用它本身的功能实现共享上网是比经济方便,本文主要讨论这种方式。要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台,NAT的工作原理如图一所示,经过NAT转换后访问外网的内网的计算机的地址都变成了192.168.0.1而且MAC地址也转换成了ADSL的MAC地址,也就是说,从原理上讲,直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。那是如何发现的呢?一、分析原因 首先用superscan对ADSL猫进行扫描,发现开着161端口,161是SNMP(简单网络管理协议)的服务端口,难道是通过SNMP协议发现的主机数量,用xscan对猫进行了漏洞扫描,果然有默认密码,登陆到猫的管理界面但是找不到关闭SNMP服务的地方,看来是留的后门,由此基本可断定是通过SNMP协议发现的主机数。为了进一步证实,用SNMP的一个管理软件ActiveSNMP查看ADSL猫的连接情况,如图二所示,可以清楚地看出通过SNMP协议可以发现同时上网的主机数图二、ActiveSNMP显示的ADSL中的连接情况二、解决方法解决的方法就是屏蔽SNMP协议。有以下几个思路。1、 猫中没有任何关闭SNMP协议的地方,可以换一个能关闭该协议的猫。2、 修改配置文件,可以将配置转换成一个文件,用二进制编辑工具修改默认密码,然后再加载到猫中,这只是一种思路,没有试过。3、 买一个ADSL路由器,放到如图三所示的地方,在该路由器中再做一个NAT服务,这样进到ADSL猫中的就是一个地址,这样就解决了共享上网。注意在路由器中要关闭SNMP协大家试试吧/具体情况我也不大明白 没试验过!!!!!!

parphy 发表于 2004-11-17 07:50:02

楼主的确辛苦,但关于SNMP的问题,阁下的说法我想再商榷一下:如果楼主家的门由于夏天天热,没锁门也没关门,那么有人未经阁下同意就近来,从法律上讲算不算“侵入”?那么,电信会轻易干非法入侵的事吗?如果真是这样,你何不用SNIFFER监听一下,也可以把电信告一把,岂不爽哉?电信一般用的是监听+控制的办法,而不是用黑客手段。那么多用户感染病毒他们都没处理过,哪里顾的上查代理?再说,用SNMP扫描,对电信级企业来说,用来管理设备还行,挨个扫用户,人力成本实在太高,你没看电信一直在精简人员,把尽可能多的事让网络集成商做、让代理公司做,自己只管作好运营。如果你对ROUTER OS多吃透一些的话,用线程就可以把下面的代理和NAT都干掉了(比如线称设到80,两个人上网问题不大,3个人会有些停顿感俗称“卡”,但4个人就经常打不开网页了,大部分情况是打到一半就停了),当然电信有更好的类似办法,让他们逐个用户查,恐怕不太现实,肯定靠的是硬的东西。还有,有条件的话,SNMP用于监控还是很好的,干嘛非要关闭,改一下COMMUNITY STRING不就完了?

wht73zy88 发表于 2004-11-18 14:11:13

na本人技术 确实 吃 不好但是他们 不会 用硬件实现 监测snmp吗?

parphy 发表于 2004-11-18 19:16:57

QUOTE (wht73zy88 @ Nov 18 2004, 02:11 PM)
na本人技术 确实 吃 不好但是他们 不会 用硬件实现 监测snmp吗?
你知道独立研发这种硬件的成本吗?而且研发成功也不解决电信想限制你们的全部问题!

zhyzhy1 发表于 2004-11-18 22:53:14

各位大哥,我是一个河南网通CNC的用户,我们这里的线路根本就不能上路由器,否则就会吊线,连软路由也不行,请问有什么好方法解决吗?
页: [1]
查看完整版本: 转贴: 关于电信限制共享上网的解决方案