浅谈校园网身份认证

1.内网、公网、IP与NAT

外网又叫互联网，是连接整个世界的一个大网络，借助互联网，在中国的我们可以访问远在美国的github服务器。
内网也叫局域网，小到某个家庭三台手机组成的局域网，大到某个学校、某个公司的校园网、内部网络，利用内网可以进行包括NAS、打印机共享等服务。内网可以镶套，换句话说可以在内网里组件内网。
IP地址是网络上每个用户的一个地址，IP地址分为公网IP与内网IP，图中手机1、手机2、以及内网中的内网通过同一个公网IP（由运营商分配）访问互联网，然后在这个内网内，每个设备又单独拥有自己的内网IP（有组建内网的路由器分配）。

用我自己的话说，你的IP地址应该是：
公网IP->内网1 IP->内网2 IP->内网3 IP

这里就会产生一个问题，外网的设备如何与内网中的特定设备通讯，你肯定不想你的情书在整个内网广播。要知道，外网是看不到内网的结构的，他只能看到一个路由器和他的公网IP。

NAT于是被发明来解决这个问题，简单的说，NAT将内网IP映射到公网的一个端口上，这样，当外网设备需要与特定主机通讯的时候，只要将消息发送到：
公网IP：（端口）XXX
路由器则会根据这个XXX将消息下发到对应的设备。

2.校园网身份认证原理

校园网一般没有密码的，当连接校园网并且没有登录时，路由器其实已经分配给你了一个内网IP。
要检验这一点，你只需要在未登录情况下访问一些内网资源，比如教务管理系统，如果能正常访问，那么这篇文章基本符合你的校园网运作模式。

言归正传，当你在没有登录校园网的情况下访问外网，比如百度，你的访问请求被发送到校园网路由器上，路由器发现这是个外网资源，同时校园网路由器发现你这个内网IP还没有登录，就会强行重定向到登录界面。

当你在没有登录校园网的情况下访问内网，比如提到的教务管理系统，你的访问请求被发送到校园网路由器上，路由器发现这是个内网资源，管你有没有登录，直接接通你就可以访问了。

3.能不能绕过身份认证？

当然有，不然我写这么多东西干嘛…

其实我们已经这么干了很久，只不过自己不知道而以。

以前我的学校的上网套餐是90包月，一般一个宿舍买一个路由器，一个同学A购买包月套餐登录校园网，BCD三个同学连到这个wifi，这样四个同学就都可以上网了，这样大家平摊网费。为了方便理解原理我放个图：

简而言之，校园网仅仅与A进行身份认证， BCD 冒充了A，绕开了身份认证，所以也能上网。

我们用最简单的思维，在校园网涨价后怎么办？
首先我们需要一个无限流量的账号；其次我们需要一个超级路由器，这个路由器是如此强大以至于他的信号可以遍布全校，这样我们用无限流量账号登录，所有人连到wifi，就能上网了。

难点在哪？
至于无限流量账号，略…
真正的难点在于没有这种路由器，所以我们借用一下校园网，别忘了校园网访问内网资源是不要登陆的/手动滑稽。

于是ss，pptp各路神仙都开始了。