网络尖兵(NetSniper)专题 - - 飘雪工作室

1.端口映射破解网络尖兵
求助:speed home plus 511不能设成路由
原来本地的SPEED HOME PLUS 511设自动拔号路由一直正常，一个星期前，有些用户反映设完路由后不到两分钟就断线，MODEM重启，如果设为初始状态，用ETHERNET300等拔号正常。
听说是电信局做了手脚，防止用户设为路由共享上网，不知这种问题有没有应付方法？请高手赐教！
另：我在网上查的说有网络尖兵一类的设备用在电信局，专门阻止用户设路由，对应方法要屏掉snmp端口，但我在FIREWALL里不知该怎么添加防火墙列表？希望知道的说一下。

端口映射【snmp（端口161）】破解网络尖兵

snmp端口就是161吧，做个端口映射把该端口映射到内网不存在的ip试试，这主意好像是hiker出的？

我也用511，试着做了这样的两个（tcp和udp各一）端口映射（映射到10.0.0.88），发现在user.ini中显示为：

create protocol=tcp inside_addr=10.0.0.88:snmp outside_addr=0.0.0.0:snmp foreign_addr=0.0.0.0:0
create protocol=udp inside_addr=10.0.0.88:snmp outside_addr=0.0.0.0:snmp foreign_addr=0.0.0.0:0

在web设置界面显示为：


2. 破解“网络尖兵”

近段时间来,很多地方的电信ISP使用了一个叫“网络尖兵”的设备来限制用户共享上网，给大家带来了许多不便，经过高手们不懈的努力，现在已经能破解“网络尖兵”。要注意把“网络尖兵”和最近受病毒攻击事件相区别，受病毒攻击时ADSL MODEM一般要重启才能用，而受“网络尖兵”影响的等上几分钟就可以继续上网了，而且打开一个网页要经常刷新好几次才能打得开。经过研究发现它是采用多种方法探测用户是否用共享方式上网，从而进行限制，下面我分别进行破解： 
一、检查同一IP地址的数据包中是否有不同的MAC地址，如果是则判定用户共享上网。破解的办法是把每台机的MAC地址改为一样；修改的方法很多，这里就不再详述了，自己用GOOGLE搜索关键字“修改MAC地址”吧。 
二、通过SNMP（简单网络管理协议）来发现多机共享上网。有些路由器和ADSL猫内置SNMP服务，通过相应的工具是可以查看用户有没有共享的，下面是一张网友提供的通过相应工具查看一个ADSL MODEM中连接用户数的效果图，其中可以很清楚地看到共享的用户数 


要想知道自己的路由器或大猫是否开放了SNMP服务，随意找一个扫描软件(ipscan、superscan......)扫描一下，如果开放了161端口的就是内置有SNMP服务，解决的办法是把SNMP用的161端口禁止就行了。 
使用路由器或打开ADSL猫的路由模式共享上网的朋友可以进入管理界面有关闭SNMP选项的关掉它。如果猫的管理界面无关闭SNMP选项的只好买一个没有SNMP服务的路由器，例如TP-LINK TL-R400，放到adsl moden和hub中间，在该路由器中再做一个NAT服务，这样进到ADSL猫中的就是一个地址，这样就解决了共享上网。 
三、监测并发的端口数，并发端口多于设定数判定为共享。 
这是一个令人哭笑不得的设定，“网络尖兵”不停扫描用户打开的端口数，多于设定值的就判断是共享，有时连按几次F5键它是认为是共享，连单用户上网也受到了影响，这个就没法破解了(除非你把网络尖兵黑了)，俺这里的解决办法是装成无辜的用户到ISP的客服电话大骂，并声明搞不好就换ISP，一会儿网络就正常了； 
四、“网络尖兵”还使用了未知的方法从共享的计算机中探测到共享的信息，目前解决的办法是所有共享的客户机均要安装防火墙，把安全的级别设为最高，因条件有限，只试用了几种防火墙，发觉金山网镖V(http://www.gz-pet.com/Soft_Show.asp?SoftID=10)有用,把IP配置规则里面所有的允许别人访问本机规则统统不要，允许PING本机不要，防止ICMP,IGMP攻击也要勾选。如果是WINXP,要打开网卡的网络防火墙。 
采取以上破解的办法后，在自己的局域网不能看到本机，而且WINXP打开网卡的网络防火墙后，在QQ不能传送文件，网速有所减慢，但总算又可以共享了，如果有好的办法，也请大家告知。 
总的来说，“网络尖兵”还是一个不成熟的产品，主要是他对单用户上网也产生影响，浏览网页经常要刷新几次，有的网页比较复杂，要调用几个服务器文件时它也当你是共享，造成网页部分不能显示。并且由于“网络尖兵”不停扫描用户端口占用带宽，导致网速变慢，我这儿ISP用了之后用户意见很大，客服电话几乎给打爆，现在ISP只敢在晚上偷偷开一两小时：-p 
本文是根据好几位高手提出的破解办法经实证写成，在写此文的过程中，我得到笑漠红尘、梁大口和off及各位朋友的帮助，特此鸣谢。 
本文严禁在小熊之外的网站转载，作为我在熊坛得到帮助的回报。 


3.NetSniper网络尖兵：宽带网络运营维护管理器

NetSniper网络尖兵是上海上大雷克网络系统有限公司开发的网络接入检测及控制器。它可以自动检测出网络中私自架设的代理服务器系统或非法路由器，并对通过非法代理服务器的IP包以及流向非法路由器的IP包进行控制。通过这种控制，有效的避免了用户恶意偷逃上网费用的情况发生。同时NetSniper可以精确控制一个网络接口连接的用户计算机数量。NetSniper的出现，成功的解决了宽带社区、校园网中出现的费用流失问题。NetSniper也可应用于局端，解决各ISP拨号上网中产生的费用流失问题。
　　一、为什么要使用NetSniper
　　目前网络已经是我们学习办公不可缺少的工具，特别是宽带网络的使用日渐普及。然而，在运营商实际经营过程中，出现了这样一个问题：就是某些“技术高手”利用TCP/IP的一些特性，在自己的电脑上安装代理服务器或网络地址转换软件，使得多个住户可以利用同一包月帐号上网、企业办公，甚至私自架设网吧。在校园网中，上述情况已经非常普遍。在小区中，也开始出现并在迅速蔓延。最终将导致接入商投入的巨额基础建设费用难以正常回收。NetSniper的设计目的，就是要简单解决这一问题。
　　另外，网络收费规范化的呼声越来越高，多家电信运营商与ISP都有规范网络收费的计划，有些运营商已经迈出了规范网络使用收费的第一步。在商家规范收费与服务的同时，需要有一个有力的机制予以配合。现在已成泛滥趋势的单一帐号多用户使用问题必须加以引导，成为运营商开辟新阵地的用户基础。为此，我公司生产的NetSniper增加了精确控制单一网络接口上用户计算机数量的功能，为ISP以及宽带运营商提供了新服务基础，同时也为互联网用户提供了新的上网接入方式选择。
　　二、NetSniper的应用范围
　　NetSniper适用于各种网络环境，如：有线电视网络（HFC）、以太网络、xDSL（ADSL、VDSL、HDSL、SDSL等等）、电话拨号网络等等（PSTN）。
　　NetSniper有效地阻止了下列几种盗用宽带资源的方式：
　　（1）    私拉专线；（2）共享上网；（3）盗用MAC地址上网；（4）Modem回拨上网。
　　同时NetSniper可以从技术上有效地发现城域网络中存在的“黑网吧”，帮助执法机构简便、快速、有效地定位和打击“黑网吧”。
　　三、NetSniper系列设备
　　NetSniper网络尖兵的整体系统包括三部分：网络尖兵控制器、网络配置管理器和日志管理器。
　　针对不同环境的实际需要，NetSniper网络尖兵硬件设备——网络尖兵控制器被设计成为I和II两种型号。NetSniper-I和NetSniperII使用相同的网络配置管理器软件和日志管理器软件。网络配置管理器用于配置和管理网络尖兵控制器的相关参数。日志管理器用于接收和处理网络尖兵控制器发送的日志信息。
　　NetSniper-I适用于检测和控制私拉专线。NetSniper-II适用于检测和控制共享上网和盗用MAC地址上网。
　　接口：1个10/100M或1000M以太网口
　　1个RS232管理端口
　　1个10/100M以太网口管理端口
　　电源：220V/50Hz，30W
　　冷却：内置四个高性能风扇
　　尺寸：1U 440×431×44(宽×深×高)
　　四、NetSniper的外观及相关参数

接口：1个10/100M或1000M以太网口
1个RS232管理端口
1个10/100M以太网口管理端口
电源：220V/50Hz，30W
冷却：内置四个高性能风扇
尺寸：1U 440×431×44(宽×深×高)
　　五、利用NetSniper精确控制单一网络接口用户数量
　　现有的网络运营商在提供接入服务的时候，通常以最初登记的计算机数量为网络费用计算标准或给定一定带宽的专线收取包月费用。至于用户以后增加多少台计算机则不闻不问，尤其是拨号网络中（ISDN，ADSL）更加没有相应手段予以控制，因此造成很大的费用流失。针对网络运营商细化管理的需求，我公司在NetSniper中特意加入了精确控制同一网络接口上用户数量的功能。
　　NetSniper中控制界面图示

　　由上图我们可以看出，NetSniper可以方便地根据用户IP地址或MAC地址控制同一网口用户数量，用户数量控制可以分八级，包括单一用户和无限用户的缺省设置，一共十级。用户数量按照按自己的意愿定义每一级用户可以管理计算机的数量，准确，灵活，是运营商增加接入服务方式的强大基础。
　　六、偷逃上网费用的几种方式及对策：
　　1、通过接入其他专线进行“地下运营”

　　2、共享上网（1）利用一个网络端口串接若干计算机的情况
　　3、共享上网（2）利用一个网络端口串接其他已连线的用户
　　4、非法用户盗用合法用户的MAC地址上网
　　5、利用拨号网络接入一个合法网络端口串接非法计算机（Modem回拨上网）
　　1、通过接入其他专线进行“地下运营”
　　通过接入其他专线进行“地下运营”
　　目前所知道的第一种非法运营情况：如上图中的F用户合法申请一根ADSL或其他线路然后在自己的计算机中安装代理服务软件或者连接一个路由器，就可以纠集若干住户分摊该专线的租费，并通过该出口共享带宽访问外网，而且他们同时还可以享受小区内部网络所固有的所有功能。
　　同时也不排除这种可能，就是某些小区考虑到费用等因素，私下与第二家接入商洽谈，为同一个小区架设两个出口，通过不同的接入商提供接入服务。此时，第一个接入商的高额布线费用无法收回。
　　对于中的情况，我们的设备可以及时侦测出所有非法用户，并及时截断这些用户的非法IP包，同时通知系统管理员予以处理。
　　2、共享上网（1）利用一个网络端口串接若干计算机的情况

　　共享上网（1）利用一个网络端口串接若干计算机的情况
　　非法运营情况之二：如上图中的F用户作为运营商的合法包月用户，上网服务开通以后，在自己的计算机中安装代理服务软件或者安装路由器，这样就可以随时纠集若干住户分摊包月费用，甚至私设网吧。
　　对于上图中的情况，我们的网络监视模块可以及时发现这种使用者，并且通知网络管理员该用户的资料，以便网络管理员酌情处理。比如临时关闭此帐号，责令改正后重新开放等等。
　　3、共享上网（2）利用一个网络端口串接其他已连线的用户

　　共享上网（2）利用一个网络端口串接其他已连线的用户
　　非法运营情况之三：上图中的F用户作为运营商的合法用户，申请上网服务以后，在自己的计算机中安装代理服务软件或者连接上路由器，那么其余所有在该网段内的计算机都可以通过这台计算机上网。
　　在这种情况下，运营商投入资金架设的网络，反而成为非法用户偷逃费用的工具。
　　对于上图的情况，NetSniper可以及时侦测出所有非法用户，并及时截断这些用户的非法IP包，同时通知系统管理员予以处理。
　　4、非法用户盗用合法用户的MAC地址上网

　　非法用户盗用合法用户的MAC地址上网
　　目前有许多运营商是通过用户计算机的MAC地址来限制用户对网络的访问，由此产生了偷逃上网费用情况之四：用户F先申请开户，再报停或欠费停机，随后盗用合法用户A的MAC地址上网。通过这种手段，用户F不用付任何费用就可以上网了。
　　在这种情况下，运营商不但无法收取用户F的上网费用，而且由于合法用户A的MAC地址被盗用，引起A无法正常上网，导致运营商提供的服务质量下降。
　　对于上图中的情况，NetSniper可以及时检测出所有的利用不正当手段上网用户，一旦查获非法IP包立刻将其截断，同时通知系统管理员予以处理。
　　5、利用拨号网络接入一个合法网络端口串接非法计算机（Modem回拨上网）

　　利用拨号网络接入一个合法网络端口串接若干非法计算机的情况
　　这是在企业网络中常见的情况：如上图中的F用户作为企业的合法用户，上网服务开通以后，有操作人员在F计算机中安装代理服务软件、NAT软件或者安装路由器软件，再安装Modem等远程接入设备。非法用户在远端通过Modem等接入设备与网络相连接。
　　非法用户通过回拨的行为，不但浪费了企业的上网费用，而且还大量浪费企业的电话费。对于上图中的情况，NetSniper网络尖兵可以及时发现这种使用者，并且通知网络管理员该用户的资料，以便网络管理员酌情处理。比如临时关闭此计算机的使用权利，责令改正后重新开放等等。
　　七、NetSniper的使用
　　1、用NetSniper-I阻止“私拉专线”

　　用NetSniper-I阻止“私拉专线”
　　在中上图中可以看到，我们的设备同时监听多至8台HUB。产品安装简便，在HUB上只需要一个网口即可。作为一种检测设备，NetSniper以数据接收为主，基本不发送数据，所以对带宽几乎是零占用，对传输效率没有任何影响。
　　此时， NetSniper监控非法出口上网的用户并拦截所有非法用户的IP包，使其处于“离线”状态（由于申请另外专线的用户，其申请和使用行为是合法的，所以我们不对该用户采取任何监视与干扰措施，我们的工作目的是阻止非法的运营行为）。
　　完成以上捕捉的同时，我们的设备并不对这些用户应有的权利造成任何伤害，不降低网络的传输效率，不侵害用户的隐私权益，甚至小区内用户内部的局域网信息文件传递也分辨的清楚明白，实现只对非法使用现象的精确打击。
　　2、用NetSniper-II控制共享上网、盗用MAC地址上网和Modem回拨上网
　　使用NetSniper-II可以有效的控制共享上网、盗用MAC地址上网和Modem回拨上网的情况。

　　用NetSniper-II控制共享上网、盗用MAC地址上网Modem回拨上网
　　上图中，NetSniper-II可以对网络内部各用户进行检测，一旦发生某个用户安装代理服务器软件，其他用户通过该用户的接口上网偷逃网费的情况，或发现盗用MAC地址上网及通过Modem回拨上网的情况，NetSniper-II即可定位这些用户，并且采取通知系统管理员或自动封堵非法用户等措施。
　　3、NetSniper-II检测网络中存在的黑网吧
　　网吧都是通过代理服务器或NAT转换器上网，因此可以通过检测网络中存在的代理服务器和NAT转换器来确定网吧的存在与位置。
　　NetSniper可以有效地检测出网络中存在的代理服务器或NAT转换器，以及它们所管理的计算机数量。

　　用NetSniper-II检测网络中存在的黑网吧
　　（1）“NetSniper网络尖兵”是一台每天连续24小时工作的智能计算机设备，可以有效地大幅度提高管理效率，降低管理成本。
　　（2）弥补目前“群众举报—>执法机构确认—>执法机构打击”这种模式的不足，“NetSniper网络尖兵”可以帮助执法机构更加全面、准确地打击“黑网吧”。
　　（3）使用“NetSniper网络尖兵”可以发挥技术的优势，将管理工作做在平时，避免现有的突击式管理：一有悲剧发生，就集中采取暴风骤雨式的检查整顿，高潮过去后又常常风平浪静，管理和经营又回到各自原来的轨道上，执法与非法经营彼此相安无事。
　　（4）“NetSniper网络尖兵”使用起来非常方便，和运营商现有的设备配合极其简单：不需要改变现有的网络结构、不影响网络的性能、与用户无关、集中维护、控制模式灵活。
　　4、NetSniper-II在局端的运用
　　NetSniper-II也可以作为局端设备，用于xDSL（ADSL/VDSL）、PSTN（电话拨号网络）、HFC（有线电视网络）等。此时，NetSniper-II能够有效的防止控制共享上网、盗用MAC地址上网和Modem回拨上网的情况发生。下面两个图例指出了如何将NetSniper-II用于局端。

　　将NetSniper-II用于拨号网络(PSTN)
　　在这三个图中，局端使用了NetSniper-II，如同在以太网络的环境下一样，NetSniper-II可以对网络内部各用户进行检测，一旦发生某个用户安装代理服务器软件，其他用户通过该用户的接口上网偷逃网费的情况，或发现盗用MAC地址上网及通过Modem回拨上网的情况，NetSniper-II即可定位这些用户，并且采取通知系统管理员或自动封堵非法用户等措施。

　　将NetSniper-II用于有线电视网络(HFC)

　　将NetSniper-II用于xDSL(ADSL/VDSL)局端
　　八、与现有方案比较
　　正是种种偷逃网费情况的出现，运营商投入大量财力物力铺设的网络连接设备被非法使用，无法按时回收投资。从长远的观点来看，这种现象也阻碍了运营商同大量潜在用户的密切交流，无力推进更新的增值服务。从而影响了宽带行业的发展。
　　根据市场调查，目前类似的这三种情况在宽带住宅区内已有抬头的趋势，尤其在校园网内更是如火如荼，让网管人员束手无策，运营商头痛不已。通常说来，校园网是Internet的实验应用基地，那里的任何“新发现”很快就会在整个互联网用户中普及。
　　然而，目前市场上尚未出现任何简单有效的针对性的解决办法。所以，有的运营商为防止这种可怕现象的蔓延，被迫采取划分VLAN的方式把所有用户分隔开来，使其不能相互通信。
　　我们只要了解一下VLAN技术，便知道其中运营商不得已的苦衷。
　　VLAN，又称虚拟局域网，是由位于不同物理局域网段的设备组成。虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同一网段中一样，由此得名虚拟局域网。
　　因此，运营商被迫采用VLAN的根本原因只是利用VLAN的网间隔离特征。
　　正是这个原因，VLAN技术的设计目的应用根本就不是针对目前所发现的非法用户的私自应用现象。用VLAN方式来解决这种问题，就象利用一副药的副疗效来治疗病症，得不偿失还将有其他无法估量的副作用。
　　我们仅仅分析几种弊端：
　　1、VLAN划分需要能够支持VLAN的专用交换机，价格高出普通交换机很多，直接增加了建设成本。
　　2、更重要的是用于网管的人力资源空前浩大。因为，如果根据交换机端口定义VLAN，通常很容易用某种拖放软件把一个或多个用户分配到特定的VLAN。在非交换环境里，移动、添加或更改操作很麻烦，有可能要改动接线板上的跳线从一个集线器端口移动到另一个端口。基于MAC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。但为了用户的计算机可以连接交换网络的任何一个端口，所有通信量均能正确无误的到达目的地，管理员仍要要进行VLAN初始手工分配，需要接入商投入大量的劳动。事实上为了完全避免非法使用网段，需要将全部的用户都隔离开，使用VLAN划分网段的数量和用户数量相等，这种网管的工作量将让人难以接受。
　　3、即使采用VLAN分割完毕后，所有的用户分隔后又成为了信息孤岛状态，除了简单的上网浏览服务，再难享受运营商提供的增值服务和园区内充分的局域网带宽了。
　　4、采用VLAN隔离以后，虽然可以避免一部分利用现有网络资源非法使用情况，但仍然无法避免利用一个包月接口串接若干计算机或开网吧等最恶劣的情况发生。
　　5、作为一种检测设备，NetSniper以数据接收为主，基本不发送数据，所以对带宽几乎是零占用，对传输效率没有任何影响。
　　6、NetSniper检测网络上的IP包，并可以选择拦截所有非法用户的IP包，使其处于“离线”状态（由于申请另外专线的用户，其申请和使用行为是合法的，所以我们不对该用户采取任何监视与干扰措施，我们的工作目的是阻止非法的运营行为）。
　　7、我们的设备并不对这些用户应有的权利造成任何伤害，不降低网络的传输效率，不侵害用户的隐私权益，甚至小区内用户内部的局域网信息文件传递也分辨的清楚明白，实现只对非法使用现象的精确打击。
　　NetSniper网络尖兵系列产品的工作专一，安装、配置简单，免维护。我们提供的标准配置就可以满足绝大多数网络监控的需求；系统的性能可以根据硬件进行优化，可靠性高, 是宽带网络运营商与系统集成商的最佳选择。