十一月 19, 2017 · NETWORK

共享检测 , 私接路由和随身WIFI

常见的共享检测技术主要有TTL检测、时钟漂移、IP包头Identification轨迹检测、主机应用特征检测。

TTL检测 指生存时间,指定数据报被路由器丢弃之前允许通过的路由器数量,转发IP数据包时,要求路由器至少将TTL减1,不同操作系统TTL值不同,如果检测到有多个TTL的值则可以断定有多台主机。

时钟漂移(时间戳判定) 不同主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系,不同主机发送报文频率与时钟存在统计对应关系,通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同主机

IPID检测技术 IPID共享检测的机制适用于windows系统的主机。Windows网络协议栈实现时,IP报文中ID字段的值随着发送IP报文数的增加而增加,这里我们将此IP报文连续的值的特征称之为轨迹。Identification的初始值是随机值,一般来说,不同主机的初始值有较大的差异,所以当检测到多个不同连续的IP轨迹即可判断共享主机的数目。

应用特征检测 某些应用协议报文具备可识别特征,并且经过NAT之后仍然保留原始信息,那么当最终的客户终端使用到这些协议时,即可被检测到共享的主机数。Panabit内置了上百种具备此种特性的国内各类主流应用的协议特征,例如:HTTP包头,HTTP报文头中user-agent字段、cookie字段,不同操作系统、不同IE版本、不同补丁的user-agent字段不同。

摘自panabit