关键字: 无故ARP,相同ip&mac,锐捷客户端,共享上网
随着校园网的普及,越来越多的大学生电脑的持有率也有所增加,一般而言,会通过各种方式连接上internet网,实现信息的共享和查阅.那么,今天我就简单的对我所在的学校的上网方式做个解析,供大家参考,有什么不足的地方还望批评指正,谢谢!
对于我所在的学校A(为避免不必要的麻烦,我就不将其全称写出,望理解),在硬件方面,接入层,应该为每层楼分配几台接入交换机,布置双绞线缆到我们的宿舍,每个宿舍墙上一个信息接入点,楼层做汇聚之后,连线到学校NIC,学校通过租用光纤实现internet的外联.在软件方面每个上网用户安装锐捷认证客户端,静态分配ip,输入用户名和密钥后拨号认证,并且服务器能实现静态mac绑定.(我猜测内网应该有一台AAA服务器).
这就出现一个局面,一个宿舍6个用户,每个用户需要持有一个合法帐户,每月缴纳40元RMB,那么一个宿舍整体要缴纳 240元/月!这个就显得太贵了!!为此我们想尝试通过共享的方式实现上网.那么总结我们所采用的方法!(局域网拓扑简介:一台8口宽带路由器,采用星形布线结构,学校所给静态ip地址网段172.16.0.0/16)
一、尝试路由器拨号,宿舍用户划分私网,利用路由器nat实现internet共享.
因为服务器那端在我们首次拨号时静态绑定我们的MAC,所以在路由器上修改mac地址为其中一个合法用户的主机mac地址,在路由器广域网接口采用pppoe拨号模式,输入合法帐户名和密码,进行尝试,点击连接,等待连接(等待的十五分钟期间,拨号频繁尝试,频繁掉线).
小结:我们已经不能简单的通过路由器进行拨号认证,猜测,锐捷客户端在拨号时应该采用其算法进行数据加密,而路由器没有该加密机制,造成拨号传输数据在对端识别后不合法!所以无法认证成功!
二、局域网内pcA认证,路由器广域网接口采用静态ip地址分配为该pcA的合法ip地址和mac.
首先将外网线缆和pcA线缆连接在路由器的局域网接口,在pcA上拨号,认证成功,然后将路由器的广域网接口的ip地址配置为pcA的ip地址,mac地址配置为pcA的macA,将外网线缆连接到广域网接口,那么对于pcA的ip地址采用所分配的局域网段192.168.1.0/24中的ip址,internet测试,可以上网,其他连接到该局域网的用户也能实现共享上网(他们的网关指向路由器的局域网接口ip而非pcA),但是过了几分钟后掉线,猜测是服务器有周期认证功能,pcA改为局域网ip地址后无法周期应答认证.
改良+:将动作的第二步pcA的ip地址改为局域网的ip地址去掉,保持合法的ip地址,只不过将网关指向局域网的路由器接口即192.168.1.1/24 ,重新认证,结果失败,分析后猜测,可能数据包在回的方向上到达不了pcA,因为路由器wan接口和pcA的ip地址和mac地址一样,路由器收到数据包之后,拆二层,看ip,发现该ip是自己接口的ip,不会在执行查路由表动作(即使在路由器上配置主机静态路由,应该也不行[未测试]),将数据包递交到路由器上层处理,上层不识别,认证失败.
三、单网卡共享模式。
将广域网线缆连接到路由器局域网接口,将pcA网卡改为合法学校分配的ip地址,登陆认证,成功后,在tcp/ip属性的高级选项中,配置第二地址为局域网的ip地址,其他用户也改为该网段,网关指向pcA,所有用户连接到路由器局域网接口,pcB上做测试,可以上网,但是过了几分钟之后,弹出系统消息,“请不要为其他用户代理。。”猜测,锐捷软件有周期识别本机网卡信息,发现有两个逻辑网卡活跃,弹出警告!所以不能有多个活跃网卡同时存在!
改良+:因为学校分配的地址网段为172.16.0.0/16网段,范围大,尝试将其他5个pc用户的ip地址改为该网段的ip地址,pcA依然采用合法ip地址,关掉第二地址,其他用户ip网关指向pcA,尝试连接,测试结果,在pcA上弹出警告,”请不要为其他用户代理上网…”,猜测锐捷软件能够识别进网卡流量,如果目标mac是自己,目标ip是自己的数据包为合法ip包,而目标mac是自己而目标ip不是自己的数据保,那么弹出警告,不允许代理.
改良++:将局域网段的pc的ip地址和mac地址都改为和pcA的合法ip地址和mac地址一致,欺骗无故arp,使其认为网络上没有和自己ip地址一致的主机,外网线缆和内网线缆都插入路由器局域网接口,pcA拨号,其他用户也可以实现上网,同时锐捷软件没有弹出警告,对于局域网的所有pc逻辑上为一台pc,但是会出现丢包现象,分析:宽带路由器的接口应该为典型的单臂路由结构,路由模块有两个接口,一个广域网接口,一个局域网接口,其中局域网接口下联一台6口交换机,现在该交换机上连接5个用户和一个外网线缆,交换机有mac地址学习功能,而此时5个用户的ip和mac一致,所以会造成交换机mac地址不稳定,抖动的现象很频繁,所以会造成数据包的丢失现象!!设想,采用hub可能会好一些,应该不会出现丢包的情况,因为其工作在物理层,只是简单的数据copy到所有接口!
四、双网卡破解上网.
最后隔壁宿舍的一个小伙子,我们敬称为”赖总”,破解锐捷认证软件部分关键字段,实现双网卡共享,现在我们网络结构就是采用这种方式即,pcA外网网卡拨号,pcA内网网卡做我们的代理,破解了锐捷周期检验主机多个活跃网卡的动作,经过测试我们都能上网,而且网络很稳定,但是对于pcA的硬件要求可能要高点,所以采用这种方法时,代理服务器要选好!!
总结:经过昨天一晚上的折腾,自己也收获了不上,从理论到实践的应用,得到了很好的结合,虽然在写这篇文章的时候,受自己局限性,可能上述分析有错误的地方,但是自己还是由衷的感到高兴有很大的满足感,很感谢51CTO上的一位朋友的肯定,谢谢您的赏识,看来生活之中需要赞美,可能不经意的赞美能帮助别人很多!哦,小人物和大人物之间的斗争一直在上演,草根阶层的无奈,精英阶层的无耻,是时局图的真实写照,最后借用我所信奉的一句话作为结尾”有技术,没约束”!
深受锐捷的毒害!!
你们学校还没有做到最变态的一步,他要是在服务器端开启了锐捷拨号客户端的MD5检测,根本就没有办法共享!!根据你所述的你们学校是没有这样做!!我觉得校园网就是这样,尤其是锐捷,似乎没有对每个ip做限速,一个人用是那个速度,一个寝室共享每个人的速度几乎没有变化!!
1.锐捷采用的认证方式是802.1x,但是锐捷公司又在这个基础上开发了自己的认证协议,他在你们学校里面架设的有认证服务器,服务器端可以完成ip+mac的绑定,即在你第一次用学校分给你的地址认证上网时,这个绑定就完成了,他没有采用pppoe协议,故你用pppoe拨号一定拨不通。
2.锐捷的认证采用的是周期性的认证,好像是五分钟吧。而且他的客户端会检查你的电脑是否有双网卡,是否安装有路由软件,是否安装有代理软件,甚至检测你一款网卡上是否绑定了多个ip,一旦检测出来,就自动断网。检测也是周期性进行!
3.你可以把你局域网中的电脑全部改为合法的ip和mac,然后连在集线器上,一台机器拨号就可以啦,其它就可以上网。一定是集线器,不能是交换机,你上面也说了,交换机会造成数据丢包,表现就是你局域网内的用户qq经常掉线,基于集线器和交换机的工作原理不同,集线器不会出现这样的情况。但是,如果你们学校采用的锐捷认证客户端版本过高,这个方法照样行不通!
4.其实对于校园网锐捷的共享上网,网上有高人已经发布了破解过的客户端,他们也是破坏了锐捷周期性检测路由,代理,单网卡多ip,以及双网卡的检测周期,造成锐捷不会自检。网上有相应的教程通过修改802.1x这个文件来实现。利用这个你就可以做你想做的一切共享上网的事情了,单网卡就可以很好和很稳定的满足你们一群人上网了。同时还有个最大的好处就是,你可以在利用虚拟机学习技术的同时还可以上网了,不用再出现原来该死的弹出窗口了,呵呵。
5.如果你的编程能力很好,你可以以更高效更节能的方式利用路由器拨号共享上网。网上你可以找到,有人在linux下编写的锐捷客户端,而且代码好像是开放的,你可以修改路由的固件将它集成进去,最后将修改的固件刷进路由。当然这个对个人要求很高,有人要是做出来了,一定有很多人膜拜他吧 。
看到在校的学生深受锐捷的毒害,让我这个刚刚离校的毕业生也会回想起在校的很多事情,感慨一下,还是学生好啊,有一个安静的学习和学技术的氛围!!哎,自己当年怎么就不知道珍惜呢~~~