一次管理項目小組網路的經曆(使用RouterOS與Wireshark破解adsl上網密碼,使用isa與Bandwidth Splitter來協調頻寬)

      大半個月前,為了方便大家工作,通過電信做活動,把2M的頻寬升級為6M,12個人使用.後來在實際使用中,發現怎麼網速在升級前與升級後沒有大的區別,反而還有更加不穩定的趨勢.跟大家三令五申在工作時間不要用迅雷下載大檔案,休息時間看視頻不要用加速器,不要同時開啟多個視頻進行緩衝,但效果甚微,網頁該打不開的還是打不開,遠端桌面該卡頓的還是卡頓.沒辦法,只能使用強制性方法了:使用工具平衡網速.

      這首先面臨的第一個問題是破解adsl上網密碼.先前的上網密碼是被路由器加密後記憶在密碼框裡,但是由於電信登記單早已不知去處,開通寬頻使用的身份證的主人也早已離職,去電信去擷取或更改adsl上網密碼非常麻煩,於是嘗試使用工具來進行破解.

      在網上大搜一通,終於找到一篇有實際可操作性的文章.讀過之後,對於整個破解過程有了大致瞭解.原來ADSL使用者採用PPP協議中的PAP協議或CHAP協議進行身分識別驗證，由於PAP協議採用明文傳輸密鑰資訊,那麼你只要建立一台PPPoE伺服器，身分識別驗證方式採用PAP協議，當路由器與這台伺服器通訊的時候進行監聽，即可擷取儲存在路由器中的ADSL帳號和密碼。

      破解的大致過程是用虛擬機器安裝一個linux系統:routerOS,其網卡與物理機器的網卡進行橋接.然後使用Wireshark監聽網卡,最後用網線連線路由器的wan口與被監聽網卡口,這樣相關資料就被擷取到了.更加具體的操作過程可參考這篇文章:如何拿到路由器中的ADSL帳號密碼

      這裡要說的一點是,其實文章中使用的虛擬機器是vwarm,其實其過於龐大,使用更加小巧的vpc也是可以的.vpc在設定時沒有明確的橋接概念,只需把虛擬機器的網卡指定為物理機器的網卡即可.

 

      接下來就是安裝與配置isa了.安裝沒什麼好說的,一路next就行了.而更加具體的配置則可以查看這篇文章:ISA使用教程.

      最後就是安裝bs外掛程式了. 這兩篇文章講的比較好:Bandwidth+Splitter教程,在ISA 2006 上利用Bandwidth Splitter定製頻寬和限制流量.

 

      下面來分享下我的安裝與使用經驗.

      1. 我使用的isa版本為2006,其有個sp1補丁,我把他給打上了.

      2. isa有個叫"內部"的網路對象.他也是我們管理的主要對象.在安裝isa過程中安裝程式也會讓你指定他的範圍,主要是指ip範圍.我們的區域網路的ip範圍是從192.168.0.1到192.168.0.255.但是你如果就只是把這一段ip範圍加入"內部"網路對象,你會發現即使完成了所有的配置你仍然上不了網.我不是學網路專業的,不是太瞭解.解決的方法是在其配置"內部"網路對象的介面上有兩個按鈕:添加適配器,添加專用地址.最小的ip範圍是點擊"添加專用地址",把192.168.0.0到192.168.255.255加入進來;或者使用更大的ip範圍,點擊"添加適配器",選中你現在使用的物理網卡然後確定,你會發現起碼加了四段ip範圍,且每段跨越的區段都非常大.我使用的是最小ip範圍.

      3. 在使用isa管理的協議方面,我使用的是所有出站通訊.其實更加嚴格的管理方式是指定具體的協議.比如只允許http與https協議出站之類的.網上也有許多關於如何使用isa禁止qq或tm的文章.我研究了下,qq會自動切換使用的連接埠,他如果發現udp 8000連接埠不能使用,則會使用tcp方式使用80或433,但是tm發現udp 8000無法使用時,就登陸不上去了.udp的方向是"發送接收",不要搞錯與搞反了.

      4. 每次更改配置後,需要點擊isa介面上方的"應用" 按鈕.但是我發現其反應的不及時,明明我的策略已經改了,但是它還是按照舊的策略去執行.最好的方式是去windows服務頁面手工重啟microsoft firewall服務.

      5. 當你安裝完isa後,windows服務介面會出現4個新的服務:一個 microsoft firewall服務,三個microsoft isa server XXX服務.這些會取代windows原有的windows firewall/internet connection sharing(ics)服務並把它禁用.如果你試圖啟動ics服務的話,服務將無法啟動並會報一個錯:"錯語123:檔案名稱/目錄名或卷標文法不正確".我想啟動這個服務的原因是想共用他的adsl寬頻連線,讓區域網路內的其它機器通過它進行上網並受它的管理.其實我多慮了.其一isa是個牆,ics也是個牆,都是ms出的,那麼當你安裝了isa後,它會取代ics,所以服務無法啟動是正常的.其二,共用串連個這功能其實已被isa預設支援了,起碼在我的環境下,沒有經過任何其它設定,其它的機器只需把網關ip改為isa伺服器ip就可以上網了.

      6. 使用bs可以對頻寬進行限速.在其配置介面,速度單位是kbits/s,乍一看如果填入80就是每人80K的網速了,其實不然.這裡的單位是bit,而一般講的KB是Byte,1Byte=8bit,所以如果你想把最高頻寬設為80K的話,這裡應該填入640.

      7. 我還啟用了bs的http加速,並把其加速最高值設為50000,期間為10秒,冷確時間為10秒.按照一般的速度看網頁,開啟一個頁面後一般後看個10到20秒,在開啟的前10秒按照6M的網速進行載入,其實除了特別大的網頁,3秒之內應該就能載入全完.然後又花了15秒看完了內容.由於我冷確時間是10秒,當其點擊下一個連結時,又會按照6M的網速載入新的網頁,這樣就大大提高了普通網頁瀏覽速度.但是持續的有網路需求的應用還是按80K的速度來承載,比如下載或看視頻.

      8. 如果可能,適當限制一下上行.我之前設的是80,也就是10K,後來又取消此限制了.因為對於民用頻寬,不管你拉的是2M還是6M,都是指的下行,上行永遠是50K.即使你6M下行實際只使用了100K,但是如果上行50K被佔滿了,實際使用起來仍然非常的卡.

      9. 並發串連到底對網速有什麼影響呢,我先前設的20,但是有的人聽QQ音樂,同時緩衝2個視頻,一下就佔去了近20的並發,這樣就經常出現開啟普通網頁時顯示超過並發串連的錯誤.後來我把它去掉了,網速也沒看見有什麼很大的影響.

 

      最後吐槽一下個人感想

      1. 做視頻加速器這類工具的人真沒公德心.這東東跟下載工具類似,會竭盡所能的佔用頻寬,但又跟下載工具不類似.當資源下載完全後,下載工具會停止下載,但是這類加速器貌似不會停止,即使你的視頻都緩衝完全後,它仍然會一直佔用你的頻寬.按我的實際經驗,80K的頻寬基本能滿足看視頻的需求,但是上周六,2個人用6M的網,他開了加速器看男人幫.這是個神馬神器,居然一整天我連dota都打不了,默默的背付著演員的罵名.我感覺這類工具直接把你的電腦搞成了肉雞,背後幹了什麼事你一點也不知,只知道頻寬被無盡佔用了,卸還卸不乾淨!

      2. 限速的策略還是不夠靈活.現在只能按什麼時間使用什麼限速策略.其實我想要一種更智能的方式,就是按上網的人數來分配頻寬.1人6M,2人各3M,6人各1M之類的.呵呵.

      3. 再一次證明了社會學的一條規律:"公地悲劇".公用資源總有一種被濫用的趨勢.如果沒有一個合理的方式去管理公用資源,那麼每個人的利益都將無法得到保障.現在每人常規80K,http加速6M之後,6M的網速可以同時承載6個人同時看視頻,然後其它人3秒鐘之內開啟網頁.還可以打falsh網頁遊戲.

      4. 承接第3條,再一次證明了為什麼一部份人先富了起來,然後他們走了.

 

      PS:寫隨筆的時候CuteEditor無法插入超連結了,在三台機子上分別用IE8與FF測過了,開啟超連結框時會報指令碼錯誤,樣式有時也壞掉了,管理員們有木有知道呀?

 

      其它引用連結:

      1. 軟路由ROS 3.20 官方原版ISO檔案

      2. Wireshark (32-bit) 1.6.5

      3. ISA.Server.2006.簡體中文企業版

      4. Bandwidth Splitter V1.05&V1.07&V1.21