校园网WIFI,笔记本连接可以正常上网,手机连接就会提示根据****,已阻止移动端访问外网
今天补充:————————————————————————
已经改了mac,但还是不行,网管说深信服可以直接检测出所用的系统是安卓、苹果还是win。。。
海南网友:
闲没事,上去给你截了几张图,图三里有个提示框你可以参考下
—————————为水一个回帖专门开了移动终端识别功能———————
补一张,更明显的
河北网友:
个人是猜测通过多维方式去检测判断的:
1.MAC是可以查到归属的厂商和设备的,可以通过修改MAC地址来伪装
2.TTL值, 手机的TTL值和电脑的TTL值是不一样的, 也就是通过Linux和Windows的TTL值来判断,这点可以修改注册表的TTL值来伪装
3.User-agent , http请求中包含浏览器的user-agent,这个特征明显且一打一个准, 可以通过修改浏览器的user-agent来伪装(修改成手机的user-agent后 网站会默认给手机版的网页给你)
4.其他的 TCP sequency, 时钟检测是更深一层的技术了,一般用来检测代理上网
广东网友:因为MAC前六位包含赵哲的信息
河北网友:大兄弟,正好手头也有可以跨三层mac识别的usg6650,哈哈哈,只不过暂时没配,回头配了给你补个图
安徽网友:http://standards-oui.ieee.org/oui/oui.txt
福建网友:根据数据包里面带的user-agent字段区分的 具体的保密不公开的
湖北网友:MAC地址肯定明显啊,基本不改的话,不可能重复啊,而且MAC是有固定的写法的,手机和Lap肯定不一样……
澳门网友:MAC地址和数据包开头
河南网友:我这个门外汉猜也是MAC
香港网友:手机MAC修改成和笔记本相同试试
江苏网友:为什么?难道mac有那么明显的特征么?深信服能不能看到手机型号?
湖南网友:好好学一学吧
山东网友:好好学一学吧
山东网友:怎么通过酸酸共享给手机?另外深信服能不能识别手机型号什么的?
广西网友:你试过的方法我也试过了,无效,开热点电脑可以,手机不行
辽宁网友:这个局域网。。。好吧,还是想知道深信服是如何识别手机的?
天津网友:设置里的本地代理,允许来自局域网的连接就好,这个55r要设成全局的
甘肃网友:这个知道,关键是深信服靠什么来辨别手机还是电脑?治标还需治本
山东网友:)dddddd
内蒙古网友:
应用流量分析检测
手机app,比如手机qq,手机WB之类的,都有其特有的流量特征,只要流量中存在相应的流量特征,就可以确定是移动终端在连接WiFi了,而ss的流量是加密的,恰恰可以绕过流量特征检测,符合上面那位dalao的测试结果。
浙江网友:加密的话,是不是任何微皮恩都可以?
台湾网友:
可以,但是“使用VΡN”本身就是一种特征(因此用VΡN富强秒封),不确定深信服是否屏蔽了主流VΡN协议
广西网友:
可以,但是“使用VΡN”本身就是一种特征(因此用VΡN富强秒封),不确定深信服是否屏蔽了主流VΡN协议
安徽网友:
SS的特征并不明显,大概率只是socket协议+流量加密(没看过源码,猜测),因此才在功夫网下撑了这么多年,被深信服监测出并屏蔽的可能性不大。
或者其实完全可以自己写一个简单的加密代理。
黑龙江网友:已经改了mac,但还是不行,网管说深信服可以直接检测出所用的系统是安卓、苹果还是win。。。
海南网友:那看来除了MAC,他还收集了其他信息
安徽网友:已经改了mac,但还是不行,网管说深信服可以直接检测出所用的系统是安卓、苹果还是win。。
辽宁网友:对的,我现在尝试修改ttl,不知道行不行
宁夏网友:改了ttl和useragent,也不行
河南网友:
闲没事,上去给你截了几张图,图三里有个提示框你可以参考下
—————————为水一个回帖专门开了移动终端识别功能———————
补一张,更明显的
福建网友:手機再安裝一個虛擬機,然後在虛擬機上網
江苏网友:看我楼上得协议识别图…
云南网友:看我楼上得协议识别图…
澳门网友:
搞个白名单吧,我喜欢这种简单粗暴的,直接要最高权限拿来我自己加
或者,你开全局酸酸试试,我没研究
西藏网友:全局酸酸什么的都试过了,不行,感觉是wifi刚连上就提示我了,系统层泄漏的
陕西网友:电脑开server,酸酸内网全局到电脑试试
广西网友:这样可行,之前试过,但毕竟还是不方便,有没有办法把手机伪装成电脑?
青海网友:竟然连深信服这种路由器都识别出来了,那酸酸估计差不多了
福建网友:mark
上海网友:在论坛每天都在长知识
宁夏网友:不知道就说mac
海南网友:可怕
一家公司都这样了,功夫网可不更厉害
广东网友:可怕
一家公司都这样了,功夫网可不更厉害
福建网友:改了mac没用,所以并不是mac泄漏的,目前还不清楚到底是什么泄漏的,不过可以肯定,是系统层面泄漏,毕竟都可以精确到手机型号。。。
湖北网友:因为各种APP(含系统自带APP)在运行的时候都会先初始化一下(即是向服务器接口请求一些配置信息),在这个过程中,你手机的型号、imei、位置等等各种几百种信息都会经过这个接口发给服务器,只要在网关拦截这个请求就可以获得他们所需要的内容了。
湖南网友:问题来了,这个接口一般都是https加密的,如何获取
河北网友:简单,手机有特定的流量信息。
宁夏网友:抓包对比一下喽
甘肃网友:有没有办法伪装?
台湾网友:学习了
青海网友:有没有办法伪装?
江西网友:不知道ssr混淆能不能避开
浙江网友:不知道ssr混淆能不能避开
西藏网友:6666
新疆网友:2楼截图已经说的很清楚了
天津网友:这是什么系统?
西藏网友:sangfor 的上网行为管理设备啊
广东网友:666
江西网友:我溜去看看
河南网友:顺带帮忙看看能不能绕开限制或者伪装
广东网友:不会是MAC识别,因为稍大点的网络规模,深信服都会被部署在网络出口,这时候手机和笔记本客户端相对于深信服是跨三层访问,MAC地址是不会跨三层网络。我猜更大的可能就是通过HTTP报文中的useragent进行识别,就算你手机不主动访问网页,但是手机后台都会偷偷和厂家的API接口通讯,这个我是抓过包的,大部分API是直接用HTTP,没有加密的。
广西网友:浏览器里有详细信息,cpu,os,
浙江网友:浏览器里有详细信息,cpu,os,
湖南网友:大兄弟,正好手头也有可以跨三层mac识别的usg6650,哈哈哈,只不过暂时没配,回头配了给你补个图
上海网友:楼上有人说的oui,那个估计只是辅助用,每个设备连到ap上时候都可能会发captive的探测包的,http的,所以深信服可以用包解析程序(ndpi,l7或者类似的)来得到手机信息,即使没有发captive,后续发的http包也会有相关信息的
黑龙江网友:666
广西网友:那。。。有没有办法伪装?
河北网友:系统机制,没有办法,要不你就随身带个智能路由类似的东西,该设备来接入wifi并且提供通道给下面挂的手机
香港网友:这样就检测不出了么?
青海网友:试试吧,不行只能让该设备直接做全局代理
西藏网友:那和windows开个代理服务有什么区别,主路由一样会检测到这个ip上有移动设备的数据流过,然后触发处罚机制,电脑断网1小时.
内蒙古网友:试一下全局模式的openv*p*n
天津网友:试一下全局模式的openv*p*n
江西网友:下挂路由也可以检测到的
黑龙江网友:我也觉得可以检测到,和校园网一样的
四川网友:问题是我修改了useragent也还是不行。。。。。。
安徽网友:全局ss可破
湖北网友:试过了,不行。
宁夏网友:有,买一台电脑
广西网友:那我还有个更好的办法,把深信服拆了
河南网友:手持终端的特性决定
android,ios都是由各种系统级别以及魔改版的心跳组成
要伪装的话除非把乱七八糟的app都搞定
辽宁网友:深信服 大佬?
四川网友:深信服 大佬?
青海网友:应该是不止是app,在http,tcp通讯时都会有明显的设备标识,app通讯时,更会把自己的app标识写进去
安徽网友: 肯定还有其他的 400保密这个不给说
西藏网友:说啊,干嘛不说。。。
天津网友: 他们官方的不给说,技术保密
辽宁网友:哈哈,我司的产品牛笔啊。下次研发过来办事处问一哈