超重大发现！反共享检测！

htqt

今天对PA分析了一下，每次开迅雷就能检测到电脑的IP。后来抓包发现，原理迅雷会把IP的16进制（如192.168.1.2为C0A80102）发送出去，PA类软件就通过截获C0A80102字段等分析出内网机器数。。

于是尝试ros上拦截包含C0A80102此类的数据包，怎么搞都行。无奈啊，请高人指点

补充内容 (2013-7-18 17:27):
打错了，应该是ROS上不懂怎么搞，谁能提示下dorp “ C0A80102” 这类的防火墙怎么写？？ 是不是要L7协议才支持？

htqt

我是在3层交换机的高级ACL里面拦截测试有效了，再来跟大家分享的，也请各位试了效果回复一下

mithas

没有实际应用环境，但是支持楼主分享，现在愿意分享的人越来越少了

likeme

我其实是没看懂LZ说的，请教ROS上的检测方法。

9939781

如果不用迅雷呢？换QQ旋风下载，就检测不到了？这不合理吧。。。电信没这么2吧

tournet

用这个办法可以标记迅雷下载不？

nujia

一般用迅雷的命中概率应该在30%以内。要是能通过网页分析就更好了。不过也不失为一个方法，感谢楼主的分享

wanfanji

电信没有用PA吧，长宽那些才用。。

htqt

wanfanji 发表于 2013-7-18 14:12

                               
登录/注册后可看大图

电信没有用PA吧，长宽那些才用。。

不懂，反正发现漏洞就想封，。手上有的项目挨检测到共享了，能避免多少就多少了

fuzhend

虽不明，但觉厉

jiangyufu

我来给大家普及一下ip地址：
IP地址的几种形式及转换
根据TCP/IP协议，IP地址是以二进制来表示，目前广泛使用的IPv4（Internet Protocol version 4：网际协议版本4）中规定IP地址长度为32bit（比特位）（如：11000000101010000000000100000010），为了方便使用，人们将二进制IP地址转换为四个十进制数字用点号分隔的形式，1bit × 8=1byte（字节），32bit换算成字节就是4byte，二进制形式IP 11000000101010000000000100000010换算成十进制形式即为192.168.1.2，这种形式即最常见的IP表示方式：点分十进制表示法（Dotted decimal notation）。

下面介绍IP地址不常见的几种形式
1、整数型：
IP 192.168.1.2的二进制为11000000101010000000000100000010（注：点分十进制IP转二进制时，四个十进制数字转二进制不足8位的用0补足8位），将11000000101010000000000100000010换算成十进制为3232235778，得到其整数型IP形式：3232235778。
另一种换算方法：192 × 256^3 + 168 × 256^2 + 1 × 256 + 2 = 3232235778
我们可以在CMD命令行下输入：ping 3232235778 ,会显示跟 ping 192.168.1.2 同样的回显，说明两者是等价的。

2、八进制型：
IP 192.168.1.2换算成八进制为300.250.1.2，每位在前面加0表示是八进制，结果为：0300.0250.01.02,同样可通过ping测试下证明两者相等。由此可见，IP 0127.0.0.1并不像表面上看到的似乎等同127.0.0.1，而等于IP 87.0.0.1。

3、十六进制型：
换算方法跟八进制相同，不同的是前面加0x表示十六进制，如IP 192.168.1.2转换为十六进制型IP为：0xc0.0xA8.1.2。

4、混合型：
即以上几种进制的混合，如IP 0300.0xA8.1.0x02，这种纯属为视觉混淆，没什么实质意义。

以上四种相比而言，整数型IP相对实用些，下面附整数型IP一个简单应用实例：
谷歌www.google.com.hk的IP是74.125.128.94，换算成整数型为1249738846，在浏览器内输入http://1249738846，即可正常访问该地址。

楼主说的ip：192.168.1.2 转成整数为：3232235778 对应的十六进制就是 C0A80102

511789068

在ros上ping  3232235778这个数字不是192.168.1.2,说明算法不一样.还有pa跟ros协议不一样.具体有待研究~

reson166

都成精了.到这程度.支持把问题说出来.大家分析!

hwn288

呵呵，我只是来看看

zxc159789

虽然 似懂非懂 ,但是感觉好厉害的样子