封二级路由,让360随身Wifi无处藏身!!!

各位看客,身为网管的你,工作中最重要的职责之一,就是管理好网络访问的权限。因此对于像360随身wifi导致的非授权的上网行为,自然“深恶痛绝”。
 那么在你工作中,除了使用360wifi,你还碰上其他方法突破授权访问网络的事情呢?对于这样的行为,你又是怎么用技术解决的呢?或者你也可以一个破坏者的角度出发提点新想法。
虽然没有正真使用过360wifi,但是通过坛子里关于它的讨论,发现其实就是一个usb网卡,配上windows的ics做的路由。从我的角度看,就是一个无线路由器,wan口和主机共享同一个ip而已。既然是路由器,那么它就有对ttl修改的动作,它会和其他正常的主机就有不同。
 想到这,就准备磨刀烧水,准备开工了。
 首先向大家介绍一下案例环境:一台ros做接入,一台三层cisco sf-300,以及两台可网管的dlink 1228二层交换机,很典型的网络结构。

点击查看大图

ttl是线索,那么这个值应该怎么设置呢?正常接入的台式机都是windows xp,而使用无线接入的,十有八九是安卓的手机,他们系统的ttl值都是64。当一台直接连进二层交换机的正常的台式机pc1上网的时候,在经过三层交换机到达ros时,ttl从刚刚发送时的64,变成63。

点击查看大图

 而通过360wifi接入的pc2呢?PC2发送的数据包TTL为64,经过PC1,就减1成了63,从三层交换机出来后变成62。

点击查看大图


  知道了这样一个360wifi所具有的简单数据包“指纹”,那怎么才能检测出来呢?我用的是ROS,它的防火墙里正好有这个功能。接下来看看我在ros里的。
 进入ROS,打开IP->Firewall->Filter,在forward链里添加了一条源地址为内网(192.168.0.0/21),TTL为62

点击查看大图 

点击查看大图 

将满足条件的数据包源地址添加到Addresses List里

点击查看大图 

 按下“OK”,满心欢喜,自以为有了充足的理论支持和细致的图文分析,这下那家伙总能现原型了。到外面溜达一圈,回来就等看好戏了。
 可是当我回来的时候,却发现基本上所有能上网的机器,都被添加到2ndRoute里了,包括我自己使用的电脑。Oh,My God,这怎么可能呢!!!晕倒。
  放松,放松,老婆经常在我出状况抓狂的时候提醒我。这里唯一的变数就是ttl,难道我哪里算错了?
 后来通过翻阅相关材料,找到一张iptables数据转发流程,拍脑袋才明白一件事情:在防火墙的filter/foward里的数据,是已经经过了ros路由过的,也就是ttl已经在又做修改了,我应该把条件里的ttl设置为61而不是62。附上这张揭开我迷惑的图:

点击查看大图 

 重新修改一下刚才ros里的设置,调整ttl为61,清除Addresses List里那些无效的2ndRoute。一眨眼,就冒出来个192.168.4.18的地址。

点击查看大图 

现在只是我的初步观察,关键还得调查取证,用事实说话。ip由于都是登记好的,毫不费劲的找到了那台机子。我一看,前面板赫然发现一个传说中的白色360随身Wifi。
此法的关键在ttl的设置,在实际应用当中,要根据你的客户机的特点和网络的结构,做相应的调整。
此法也同样适用于普通路由器的私接。 
有人说:不应该只发现,还应该外加技术手段切断上网。
 在ros里其实不是问题,做策略的时候,简单把action从add src address to list 改为drop就可以实现了。
 我之所以没有阻断而只是记录,是因为一旦你阻断了通信,对方就能很容易察觉,改用其他办法使我们的方法失效。而用我这个方法,我完全可以假装在例行检查的时候,突然发现,然后给他一个神秘的一笑!
有人说:这个方法用ros太复杂,能不能出个简单易用适用于大众的方法就
 我想可以用端口镜像+sniffer的方法来实现,只需要在过滤里设置好ttl的值就可以了。 
有人说:这个方法太容易突破了,把客户端改个ttl就完全可以。
 诚然,这的确是此方法的一个最大软肋。由于策略里只是检查发出包的ttl值,而对客户端没有做任何控制,你完全可以在客户端的机器上用几条命令改ttl值。
有人说:上个行为管理吧
 我觉得这真是个很不错的主意。后面的看客甚至贴出了行为管理器的截图,真是让我心动啊——那个一目了然啊。这个方法的确是权宜之计,如果你不差钱,真心推荐上行为管理,省的疲于奔命。补充一句:有钱真好,真正的好。
有人说:上AD吧
360wifi是windows平台,上个ad自然没问题。但如果对方用的不是360wifi,而是个家用无线路由器,怎么吧?
我总觉得,解决问题的办法多种多样,但都有自身的局限性,有时候不得不多管齐下,才能够解决一个问题。 
本人也只是一个普通网管,见识有限,文中还多有纰漏之处,希望大家能多提意见和想法。

当然,如果看了这篇文章,也在单位里做了设置来限制私接路由的事,也欢迎你跟帖和大家分享。 
不使用ROS,如何发现360wifi?
拓扑:

点击查看大图 


   在这个环境中,我摒弃使用ROS路由器,在交换机(或路由器)上联口做镜像,发送到安装wireshark抓包软件的端口上。
 在wireshark里将捕获设置改成如下格式

点击查看大图 

其中8表示ttl在ip头里的位置,63表示ttl值,请按照自己的实际情况修改。
一会就会出现你要找的ip了。

点击查看大图

相关讨论的帖子如下:
1、用ics禁用360随身wifi
http://bbs.51cto.com/thread-1078944-1.html
 2、禁用二级路由
http://bbs.51cto.com/viewthread.php?tid=1032274&extra=&page=1
 3.360随身wifi无法使用临时解决方案大全 (这个很有用,让你明白360wifi的原理)
http://bbs.360safe.com/thread-2132561-1-1.html

 

未经允许不得转载:运维大虾 » 封二级路由,让360随身Wifi无处藏身!!!

赞 (0)

评论 5

CAPTCHAis initialing...

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. Berita Seputar Bola Dunia Dan Tanah Air封二级路由,让360随身Wifi无处藏身!!!--草哥blog回复
  2. 淘宝客招募你的内容页用手机看,排版不完整喔!回复
  3. 屠龙好在我的早已经设置了回复