關於實現宿舍共用校園網上網的幾種方法~

 

關鍵字:
無故ARP,相同ip&mac,銳捷用戶端,共用上網

   
隨著校園網的普及,越來越多的大學生電腦的持有率也有所增加,一般而言,會通過各種方式串連上internet網,實現資訊的共用和查閱.那麼,今天我就簡單的對我所在的學校的上網方式做個解析,供大家參考,有什麼不足的地方還望批評指正,謝謝!

   
對於我所在的學校A(為避免不必要的麻煩,我就不將其全稱寫出,望理解),在硬體方面,接入層,應該為每層樓分配幾台接入交換器,布置雙絞線纜到我們的宿舍,每個宿舍牆上一個資訊存取點,樓層做匯聚之後,連線到學校NIC,學校通過租用光纖實現internet的外聯.在軟體方面每個上網使用者安裝銳捷認證用戶端,靜態分配ip,輸入使用者名稱和密鑰後撥號認證,並且伺服器能實現靜態mac綁定.(我猜測內網應該有一台AAA伺服器).

    這就出現一個局面,一個宿舍6個使用者,每個使用者需要持有一個合法帳戶,每月繳納40元RMB,那麼一個宿舍整體要繳納
240元/月!這個就顯得太貴了!!為此我們想嘗試通過共用的方式實現上網.那麼總結我們所採用的方法!(區域網路拓撲簡介:一台8口寬頻路由器,採用星形布線結構,學校所給靜態ip地址網段172.16.0.0/16)

一、嘗試路由器撥號,宿舍使用者劃分私網,利用路由器nat實現internet共用.

    因為伺服器那端在我們首次撥號時靜態繫結我們的MAC,所以在路由器上修改mac地址為其中一個合法使用者的主機mac地址,在路由器廣域網路介面採用pppoe撥號模式,輸入合法帳戶名稱和密碼,進行嘗試,點擊串連,等待串連(等待的十五分鐘期間,撥號頻繁嘗試,頻繁掉線).
    小結:我們已經不能簡單的通過路由器進行撥號認證,猜測,銳捷用戶端在撥號時應該採用其演算法進行資料加密,而路由器沒有該加密機制,造成撥號傳輸資料在對端識別後不合法!所以無法認證成功!

二、區域網路內pcA認證,路由器廣域網路介面採用靜態ip地址分配為該pcA的合法ip地址和mac.

    首先將外網線纜和pcA線纜串連在路由器的區域網路介面,在pcA上撥號,認證成功,然後將路由器的廣域網路介面的ip地址配置為pcA的ip地址,mac地址配置為pcA的macA,將外網線纜串連到廣域網路介面,那麼對於pcA的ip地址採用所分配的區域網路段192.168.1.0/24中的ip址,internet測試,可以上網,其他串連到該區域網路的使用者也能實現共用上網(他們的網關指向路由器的區域網路介面ip而非pcA),但是過了幾分鐘後掉線,猜測是伺服器有周期認證功能,pcA改為區域網路ip地址後無法周期應答認證.

    改良+：將動作的第二步pcA的ip地址改為區域網路的ip地址去掉,保持合法的ip地址,只不過將網關指向區域網路的路由器介面即192.168.1.1/24
,重新認證,結果失敗,分析後猜測,可能資料包在回的方向上到達不了pcA,因為路由器wan介面和pcA的ip地址和mac地址一樣,路由器收到資料包之後,拆二層,看ip,發現該ip是自己介面的ip,不會在執行查路由表動作(即使在路由器上配置主機靜態路由,應該也不行[未測試]),將資料包遞交到路由器上層處理,上層不識別,認證失敗.

三、單網卡共用模式。

    將廣域網路線纜串連到路由器區域網路介面,將pcA網卡改為合法學校分配的ip地址,登陸認證,成功後,在tcp/ip屬性的進階選項中,配置第二地址為區域網路的ip地址,其他使用者也改為該網段,網關指向pcA,所有使用者串連到路由器區域網路介面,pcB上做測試,可以上網,但是過了幾分鐘之後,彈出系統訊息，“請不要為其他使用者代理程式。。”猜測,銳捷軟體有周期識別本機網卡資訊,發現有兩個邏輯網卡活躍,彈出警告!所以不能有多個活躍網卡同時存在!
   
改良+：因為學校分配的地址網段為172.16.0.0/16網段,範圍大,嘗試將其他5個pc使用者的ip地址改為該網段的ip地址,pcA依然採用合法ip地址,關掉第二地址,其他使用者ip網關指向pcA,嘗試串連,測試結果,在pcA上彈出警告,”請不要為其他使用者代理程式上網…”,猜測銳捷軟體能夠識別進網卡流量,如果目標mac是自己,目標ip是自己的資料包為合法ip包,而目標mac是自己而目標ip不是自己的資料保,那麼彈出警告,不允許代理.
   
改良++：將區域網路段的pc的ip地址和mac地址都改為和pcA的合法ip地址和mac地址一致,欺騙無故arp,使其認為網路上沒有和自己ip地址一致的主機,外網線纜和內網線纜都插入路由器區域網路介面,pcA撥號,其他使用者也可以實現上網,同時銳捷軟體沒有彈出警告,對於區域網路的所有pc邏輯上為一台pc,但是會出現丟包現象,分析:寬頻路由器的介面應該為典型的單臂路由結構,路由模組有兩個介面,一個廣域網路介面,一個區域網路介面,其中區域網路介面下聯一台6口交換器,現在該交換器上串連5個使用者和一個外網線纜,交換器有mac地址學習功能,而此時5個使用者的ip和mac一致,所以會造成交換器mac地址不穩定,抖動的現象很頻繁,所以會造成資料包的丟失現象!!設想,採用hub可能會好一些,應該不會出現丟包的情況,因為其工作在物理層,只是簡單的資料copy到所有介面!

四、雙網卡破解上網.

    最後隔壁宿舍的一個小夥子,我們敬稱為”賴總”,破解銳捷認證軟體部分關鍵字段,實現雙網卡共用,現在我們網路結構就是採用這種方式即,pcA外網網卡撥號,pcA內網網卡做我們的代理,破解了銳捷周期檢驗主機多個活躍網卡的動作,經過測試我們都能上網,而且網路很穩定,但是對於pcA的硬體要求可能要高點,所以採用這種方法時,Proxy 伺服器要選好!!

 
  總結：經過昨天一晚上的折騰,自己也收穫了不上,從理論到實踐的應用,得到了很好的結合,雖然在寫這篇文章的時候,受自己局限性,可能上述分析有錯誤的地方,但是自己還是由衷的感到高興有很大的滿足感,很感謝51CTO上的一位朋友的肯定,謝謝您的賞識,看來生活之中需要讚美,可能不經意的讚美能協助別人很多!哦,小人物和大人物之間的鬥爭一直在上演,草根階層的無奈,精英階層的無恥,是時局圖的真實寫照,最後借用我所信奉的一句話作為結尾”有技術,沒約束”!

 

深受銳捷的毒害！！
你們學校還沒有做到最變態的一步，他要是在伺服器端開啟了銳捷撥號用戶端的MD5檢測，根本就沒有辦法共用！！根據你所述的你們學校是沒有這樣做！！我覺得校園網就是這樣，尤其是銳捷，似乎沒有對每個ip做限速，一個人用是那個速度，一個寢室共用每個人的速度幾乎沒有變化！！
1.銳捷採用的認證方式是802.1x，但是銳捷公司又在這個基礎上開發了自己的認證協議，他在你們學校裡面架設的有證明伺服器，伺服器端可以完成ip+mac的綁定，即在你第一次用學校分給你的地址認證上網時，這個綁定就完成了，他沒有採用pppoe協議，故你用pppoe撥號一定撥不通。
2.銳捷的認證採用的是周期性的認證，好像是五分鐘吧。而且他的用戶端會檢查你的電腦是否有雙網卡，是否安裝有路由軟體，是否安裝有代理軟體，甚至檢測你一款網卡上是否綁定了多個ip，一旦檢測出來，就自動斷網。檢測也是周期性進行！
3.你可以把你區域網路中的電腦全部改為合法的ip和mac，然後連在集線器上，一台機器撥號就可以啦，其它就可以上網。一定是集線器，不能是交換器，你上面也說了，交換器會造成資料丟包，表現就是你區域網路內的使用者qq經常掉線，基於集線器和交換器的工作原理不同，集線器不會出現這樣的情況。但是，如果你們學校採用的銳捷認證用戶端版本過高，這個方法照樣行不通！
4.其實對於校園網銳捷的共用上網，網上有高人已經發布了破解過的用戶端，他們也是破壞了銳捷周期性檢測路由，代理，單網卡多ip，以及雙網卡的檢測周期，造成銳捷不會自檢。網上有相應的教程通過修改802.1x這個檔案來實現。利用這個你就可以做你想做的一切共用上網的事情了，單網卡就可以很好和很穩定的滿足你們一群人上網了。同時還有個最大的好處就是，你可以在利用虛擬機器學習技術的同時還可以上網了，不用再出現原來該死的快顯視窗了，呵呵。
5.如果你的編程能力很好，你可以以更高效更節能的方式利用路由器撥號共用上網。網上你可以找到，有人在linux下編寫的銳捷用戶端，而且代碼好像是開放的，你可以修改路由的韌體將它整合進去，最後將修改的韌體刷進路由。當然這個對個人要求很高，有人要是做出來了，一定有很多人膜拜他吧 。

看到在校的學生深受銳捷的毒害，讓我這個剛剛離校的畢業生也會回想起在校的很多事情，感慨一下，還是學生好啊，有一個安靜的學習和學技術的氛圍！！哎，自己當年怎麼就不知道珍惜呢~~~