關鍵字:無故ARP,相同ip&mac,銳捷客戶端,共享上網

   隨著校園網的普及,越來越多的大學生電腦的持有率也有所增加,一般而言,會通過各種方式連線上internet網,實現資訊的共享和查閱.那麼,今天我就簡單的對我所在的學校的上網方式做個解析,供大家參考,有什麼不足的地方還望批評指正,謝謝!

   對於我所在的學校A(為避免不必要的麻煩,我就不將其全稱寫出,望理解),在硬體方面,接入層,應該為每層樓分配幾臺接入交換機,佈置雙絞線纜到我們的宿舍,每個宿舍牆上一個資訊接入點,樓層做匯聚之後,連線到學校NIC,學校通過租用光纖實現internet的外聯.在軟體方面每個上網使用者安裝銳捷認證客戶端,靜態分配ip,輸入使用者名稱和金鑰後撥號認證,並且伺服器能實現靜態mac繫結.(我猜測內網應該有一臺AAA伺服器).

    這就出現一個局面,一個宿舍6個使用者,每個使用者需要持有一個合法帳戶,每月繳納40元RMB,那麼一個宿舍整體要繳納240元/月!這個就顯得太貴了!!為此我們想嘗試通過共享的方式實現上網.那麼總結我們所採用的方法!(區域網拓撲簡介:一臺8口寬頻路由器,採用星形佈線結構,學校所給靜態ip地址網段172.16.0.0/16)


一、嘗試路由器撥號,宿舍使用者劃分私網,利用路由器nat實現internet共享.

    因為伺服器那端在我們首次撥號時靜態繫結我們的MAC,所以在路由器上修改mac地址為其中一個合法使用者的主機mac地址,在路由器廣域網介面採用pppoe撥號模式,輸入合法帳戶名和密碼,進行嘗試,點選連線,等待連線(等待的十五分鐘期間,撥號頻繁嘗試,頻繁掉線

).
    小結:我們已經不能簡單的通過路由器進行撥號認證,猜測,銳捷客戶端在撥號時應該採用其演算法進行資料加密,而路由器沒有該加密機制,造成撥號傳輸資料在對端識別後不合法!所以無法認證成功!

二、區域網內pcA認證,路由器廣域網介面採用靜態ip地址分配為該pcA的合法ip地址和mac.

    首先將外網線纜和pcA線纜連線在路由器的區域網介面,在pcA上撥號,認證成功,然後將路由器的廣域網介面的ip地址配置為pcA的ip地址,mac地址配置為pcA的macA,將外網線纜連線到廣域網介面,那麼對於pcA的ip地址採用所分配的區域網段192.168.1.0/24中的ip址,internet測試,可以上網,其他連線到該區域網的使用者也能實現共享上網(他們的閘道器指向路由器的區域網介面ip而非pcA),但是過了幾分鐘後掉線,猜測是伺服器有周期認證功能,pcA改為區域網ip地址後無法週期應答認證.

    改良+：將動作的第二步pcA的ip地址改為區域網的ip地址去掉,保持合法的ip地址,只不過將閘道器指向區域網的路由器介面即192.168.1.1/24 ,重新認證,結果失敗,分析後猜測,可能資料包在回的方向上到達不了pcA,因為路由器wan介面和pcA的ip地址和mac地址一樣,路由器收到資料包之後,拆二層,看ip,發現該ip是自己介面的ip,不會在執行查路由表動作(即使在路由器上配置主機靜態路由,應該也不行[未測試]),將資料包遞交到路由器上層處理,上層不識別,認證失敗.

三、單網絡卡共享模式。

    將廣域網線纜連線到路由器區域網介面,將pcA網絡卡改為合法學校分配的ip地址,登陸認證,成功後,在tcp/ip屬性的高階選項中,配置第二地址為區域網的ip地址,其他使用者也改為該網段,閘道器指向pcA,所有使用者連線到路由器區域網介面,pcB上做測試,可以上網,但是過了幾分鐘之後,彈出系統訊息，“請不要為其他使用者代理。。”猜測,銳捷軟體有周期識別本機網絡卡資訊,發現有兩個邏輯網絡卡活躍,彈出警告!所以不能有多個活躍網絡卡同時存在!
改良+：因為學校分配的地址網段為172.16.0.0/16網段,範圍大,嘗試將其他5個pc使用者的ip地址改為該網段的ip地址,pcA依然採用合法ip地址,關掉第二地址,其他使用者ip閘道器指向pcA,嘗試連線,測試結果,在pcA上彈出警告,”請不要為其他使用者代理上網…”,猜測銳捷軟體能夠識別進網絡卡流量,如果目標mac是自己,目標ip是自己的資料包為合法ip包,而目標mac是自己而目標ip不是自己的資料保,那麼彈出警告,不允許代理.
改良++：將區域網段的pc的ip地址和mac地址都改為和pcA的合法ip地址和mac地址一致,欺騙無故arp,使其認為網路上沒有和自己ip地址一致的主機,外網線纜和內網線纜都插入路由器區域網介面,pcA撥號,其他使用者也可以實現上網,同時銳捷軟體沒有彈出警告,對於區域網的所有pc邏輯上為一臺pc,但是會出現丟包現象,分析:寬頻路由器的介面應該為典型的單臂路由結構,路由模組有兩個介面,一個廣域網介面,一個區域網介面,其中區域網介面下聯一臺6口交換機,現在該交換機上連線5個使用者和一個外網線纜,交換機有mac地址學習功能,而此時5個使用者的ip和mac一致,所以會造成交換機mac地址不穩定,抖動的現象很頻繁,所以會造成資料包的丟失現象!!設想,採用hub可能會好一些,應該不會出現丟包的情況,因為其工作在物理層,只是簡單的資料copy到所有介面!

四、雙網絡卡破解上網.

    最後隔壁宿舍的一個小夥子,我們敬稱為”賴總”,破解銳捷認證軟體部分關鍵欄位,實現雙網絡卡共享,現在我們網路結構就是採用這種方式即,pcA外網網絡卡撥號,pcA內網網絡卡做我們的代理,破解了銳捷週期檢驗主機多個活躍網絡卡的動作,經過測試我們都能上網,而且網路很穩定,但是對於pcA的硬體要求可能要高點,所以採用這種方法時,代理伺服器要選好!!

    總結：經過昨天一晚上的折騰,自己也收穫了不上,從理論到實踐的應用,得到了很好的結合,雖然在寫這篇文章的時候,受自己侷限性,可能上述分析有錯誤的地方,但是自己還是由衷的感到高興有很大的滿足感,很感謝51CTO上的一位朋友的肯定,謝謝您的賞識,看來生活之中需要讚美,可能不經意的讚美能幫助別人很多!哦,小人物和大人物之間的鬥爭一直在上演,草根階層的無奈,精英階層的無恥,是時局圖的真實寫照,最後借用我所信奉的一句話作為結尾”有技術,沒約束”!

深受銳捷的毒害！！
你們學校還沒有做到最變態的一步，他要是在伺服器端開啟了銳捷撥號客戶端的MD5檢測，根本就沒有辦法共享！！根據你所述的你們學校是沒有這樣做！！我覺得校園網就是這樣，尤其是銳捷，似乎沒有對每個ip做限速，一個人用是那個速度，一個寢室共享每個人的速度幾乎沒有變化！！
1.銳捷採用的認證方式是802.1x，但是銳捷公司又在這個基礎上開發了自己的認證協議，他在你們學校裡面架設的有認證伺服器，伺服器端可以完成ip+mac的繫結，即在你第一次用學校分給你的地址認證上網時，這個繫結就完成了，他沒有采用pppoe協議，故你用pppoe撥號一定撥不通。
2.銳捷的認證採用的是週期性的認證，好像是五分鐘吧。而且他的客戶端會檢查你的電腦是否有雙網絡卡，是否安裝有路由軟體，是否安裝有代理軟體，甚至檢測你一款網絡卡上是否綁定了多個ip，一旦檢測出來，就自動斷網。檢測也是週期性進行！
3.你可以把你區域網中的電腦全部改為合法的ip和mac，然後連在集線器上，一臺機器撥號就可以啦，其它就可以上網。一定是集線器，不能是交換機，你上面也說了，交換機會造成資料丟包，表現就是你區域網內的使用者qq經常掉線，基於集線器和交換機的工作原理不同，集線器不會出現這樣的情況。但是，如果你們學校採用的銳捷認證客戶端版本過高，這個方法照樣行不通！
4.其實對於校園網銳捷的共享上網，網上有高人已經發布了破解過的客戶端，他們也是破壞了銳捷週期性檢測路由，代理，單網絡卡多ip，以及雙網絡卡的檢測週期，造成銳捷不會自檢。網上有相應的教程通過修改802.1x這個檔案來實現。利用這個你就可以做你想做的一切共享上網的事情了，單網絡卡就可以很好和很穩定的滿足你們一群人上網了。同時還有個最大的好處就是，你可以在利用虛擬機器學習技術的同時還可以上網了，不用再出現原來該死的彈出視窗了，呵呵。
5.如果你的程式設計能力很好，你可以以更高效更節能的方式利用路由器撥號共享上網。網上你可以找到，有人在Linux下編寫的銳捷客戶端，而且程式碼好像是開放的，你可以修改路由的韌體將它整合進去，最後將修改的韌體刷進路由。當然這個對個人要求很高，有人要是做出來了，一定有很多人膜拜他吧 。

看到在校的學生深受銳捷的毒害，讓我這個剛剛離校的畢業生也會回想起在校的很多事情，感慨一下，還是學生好啊，有一個安靜的學習和學技術的氛圍！！哎，自己當年怎麼就不知道珍惜呢~~~