反“QQ安全管家防蹭网，360防蹭网，金山卫士防蹭网”解决方案

samtogo

QQ电脑管家5.3 beta1正式发布，推出“无线安全助手”，首次为防蹭网提供解决方案 ，后几天相继被360等采用。
这点可以看出腾讯强大的创新研发能力，只是可能很多我们看不到罢了。




请勿随意用于不好用途...虽然我也知道电信资费很有深度...但是切记盗亦有道...- -


QQ安全管家，360等争相推出防蹭网解决方案，经过数天的调试，从x86和MIPS平台（路由）两方面提供解决方案，完全屏蔽蹭网扫描。


首先针对PC平台：

PC平台我们视为直接用网卡连接被蹭路由，即PC—-Router—-WAN的简单拓扑。

为了安全起见，首先打开连接状态，属性，取消勾选Microsoft 网络客户端，确定，关闭：


其次，安装ARP防火墙：


在工具，选择基本参数配置，勾选安全模式：


就这样，成功屏蔽了非网关的ARP探测。


但是，并不是所有蹭网的用户都是通过网卡直接蹭网，有相当一部分用户是通过中继设备连接被蹭端，自己再有线或无线连接自己的设备的，我们需要在路由上做一些设置。这里以dualwan路由V1.28 0536版作为测试。

首先，用无线网卡连接被蹭端，运行防蹭网扫描：


一直第一台设备为中继（蹭网端），第二台设备为PC（主人），第三台设备为本机。

记录主人端MAC地址，每两个十六进制位用“-”分割。

回到中继，telnet上路由：

运行：
arptables -A INPUT --src-mac 主人MAC -j DROP
如果没有回显，则证明成功。


可以把主人的MAC换成自己网卡的MAC，测试一遍。


然后进入路由，把上面的脚本保存为启动脚本：


路由端屏蔽防蹭网检测的方案完美宣告结束，值得一提的是，ddwrt中对arptables的支持似乎并不好，dualwan原生集成，openwrt可以挂载模块生效。
而对于ddwrt的进一步解决方案，笔者会另行研究。



原理分析：



经过抓包发现，在执行蹭网检测时，程序向网段每个IP都发送了1-3次ARP请求：


随后用ICMP检测存活：


最后用NBNS检测主机名：


一次探测大约产生了40KB的数据IO：



由于先探测ARP，对于ARP不响应的IP不予回应，所以屏蔽了ARP探测，理论上可以不屏蔽ICMP回应，直接越过检测，在局域网中隐身。

实际操作也证明了这一点。



针对防蹭网软件提供商的修补方案：

同路由商家协作，建立API，直接从路由节点调用路由表分析数据，避免采用ARP扫描。

                                                                                                                                                                                             
编辑修改了半天...累坏了额....- -


                                                                                                                                                                                                               -----本文来源：Wifibeta，感谢作者付出。

什么嘛

好复杂，估计能弄懂这个的，也不怕会被人蹭网了

半支煙

搞这么麻烦的还不如自己拉一条小水管呢

Palkia

lz不如来个总评吧

是有效还是没效。

这样大家容易接受。

。花名未知丶

这个也太麻烦了

小仙仙

看了一会，跑去打DOTA了

samtogo

Palkia 发表于 2011-8-19 23:20
lz不如来个总评吧

是有效还是没效。

有效额。。防不住。。。- -

yjwfdc

加个强密码就可以了，要那么麻烦。

狂妄之龙

WPA2、隐藏SSID、取消DHCP...

fzq198776

家用傻瓜路由器你如何获取路由表？？