Какие существуют способы обнаружить wifi роутер (на стороне провайдера)?

Question

[rmg]

Итак, имеется плохой провайдер-монополист (университет, общежитие - варианты сменить провайдер не предлагать).
Интернет предоставляется на каждое устройство отдельно путем регистрации mac адреса.
Провайдер запрещает использовать роутеры, никак адекватно не аргументируя, но понятно, что жадность провайдера и наглость студентов все объясняет.

Раньше провайдер это делал путем установки ttl=1, то есть на роутер приходит сообщение и умирает. Это влияло и на такие программы как Connectify, и даже на VirtualBox (сеть не работала на гостевых ОС). Лечилось путем запрещения модификации TTL на роутере.

Теперь появился новый способ, в следствие которого TTL уже 58. На роутере интернет есть (адреса присваиваются, сайты пингуются), но на устройствах - нету доступа к сети. Если посмотреть пакеты в веб-интерфейсе роутера, то видно, что пакеты с устройств идут, но ответы от провайдера не приходят. Что самое интересное, если с устройств пропинговать любой сайт (например, ping google.com), то адрес преобразуется в ip-адрес, а дальше превышается время ожидания. А иногда скайп начинает работать (что очень загадочно, ведь только скайп и только иногда).

Поэтому вопросы:

1. какие способы детектирования роутера существуют? (Вопрос для размышлений и удовлетворения интереса)
   
2. как можно сделать, чтобы роутер был абсолютно невидим для провайдера?
   

p.s. Если что - роутер ZyXEL Keenetic Extra.

Answer 1

[Сергей]

Есть элементарный способ детектить роутер. =) Мак-адрес роутера который принадлежит конкретному производителю. Достаточно просто реализовать проверку маков по базе и исключать устройства из пула разрешенных. Плюс забанить для гарантии левые маки (если такие есть в природе).

Comments

[rmg]

Так как привязка пользователей идет по mac адресам, то перед установкой роутера был изменен mac адрес на роутере (потому на роутере Интернет и есть). А здесь что-то новое - перерыл много страниц в Интернете - ответа не нашел (или искал не то).

[Сергей]

вариант 1. тогда нужно рыться в поведенческой модели при работе с пакетом у роутера и конечного устройства. должно быть уж чтото совсем элементарное.
вариант 2. врубай nmap и смотри что открыто наружу у железки. или наоборот не открыто!

[rmg]

Сергей: А можно подробнее о пункте 2?

[Сергей]

вообще желательно бы запись пакетов между компом и коммутатором, между компом - роутером - коммутатором и роутером - коммутатором когда ты с него пингуешь и трейс делаешь( но без пакетов от копа). Яжу понятно что тут возможно только 2 варианта. Либо роутер себя выдает чем-то, либо не происходит какого-то события ожидаемого от обычного компа.

[Сергей]

https://nmap.org/download.html#windows втыкаешь роутер в коммутатор свой и сканируешь чем он может светить в сеть из портов.

[Сергей]

думаю что ответ найдется в изменённых пакетах самим роутером. особенность ната. посижу поиграюсь. но по хорошему нужно брать сетевика со стажем и давать ему доступ к компу удаленно. нюх не пропьешь. а потом писать ответ тут. а то все сдохнут от ожидания )))

[rmg]

Сергей: Я не особо разбираюсь в сетях (начал читать пару дней назад, после покупки роутера), поэтому сам много не сделаю. Если надо - могу предоставить доступ к компьютеру. Или просто исполнять инструкции и передавать результат.

[Сергей]

Я поиграюсь до пн и схожу к нашим. Посмотрим что нароем.

[Сергей]

Потом уже удаленка или логи

[rmg]

Сергей: Спасибо!))

[Сергей]

Кстати. Есть и еще один вариант. Вопрос ... все протоколы ходят без роутера?

[rmg]

Сергей: Как это проверить?

[Сергей]

попробуйте трейсрт сделать через роутер

[rmg]

Сергей: На роутере ZyXEL Keenetic Extra такой команды нет( Но я провел трассировку с ноутбука - при подключении к сети напрямую и через роутер - маршрут одинаковый (только через роутер - вначале маршрута добавляется роутер).

[Сергей]

отвлекся. дико извиняюсь. ) ребята отослали к старой статье криса касперского www.synack.ru/articles/x_03_2008_xakep_pro_ohota_n... думаю ответ тут =)

[mtp]

Он Касперски, а не Касперский. Как говорится, Карл Маркс и Фридрих Энгельс - это четыре разных человека :-)

Answer 2

[Misteg]

Мак-адрес роутера который принадлежит конкретному производителю.

Не думаю, что человек, знающий как запретить модификацию TTL на роутере, не знает о возможности клонирования MAC-адресса.

Answer 3

[Андрей Акимов]

Я и есть такой провайдер, как ты описываешь! Наверно у вас студенческое общежитие в котором в каждой комнате каждый студент платит за подключённый хост, а вы хотите вчетвером через роутер сидеть на одном IP и платить за одного. Пока механизм защиты провайдера работает всё остаётся как есть. Как только вы узнаете как задействовать роутер механизм защиты будет усложнён. Например, я бы добавил аутентификацию по логину и паролю. Тяга к знаниям это похвально!

Comments

[Сергей]

Не волнуйтесь уважаемый провайдер. Мы обязательно что-то придумаем! =) На любой зад есть свой болт. К тому же я не совсем понимаю бред с хостом. А смартфоны куда цеплять?

[rmg]

У нас у каждого свой провод, и я не из тех, кто любит медленный Интернет (когда остальные качают торенты и тд). Лично мне нужно подключать разные устройства к сети для тестирования приложений. А вот провайдер поступает как истинно русский человек: все что не могут использовать - запрещают. Можно придумать тарифные планы, можно подключать не человека, а комнату брать с комнаты по количеству жителей, а жители сами уже разберутся - сколько с кого. Но нет. Надо запретить.

[Сергей]

Ой давайте без паники. Все будет ок. Я не знаю еще не одной уловки которая бы не дала юзать конечному пользователю роутер. В пн поговорим с нашими ребятами у провайдера. И выясним как это обойти. И в чем фишка.

[Андрей Акимов]

Сергей: "А смартфоны куда цеплять?" - ламеры юзают Conectify, а нормальные пацаны создают Virtual Wi-Fi adapter и через него раздают на свой смарт.
"К тому же я не совсем понимаю бред с хостом" - а что тут понимать? Есть провод, который должен подключаться к сетевой карте компьютера или ноутбука. Это и есть хост у которого есть свой MAC, и которому назначается определённый IP.
Если автор пишет, что в комнату на каждого заходит свой кабель (а не один на всех и потом через L2 свитч распределение), значит провайдер использует управляемые L3 свичи на этажах и может удалённо управлять каждым портом. Ну играйтесь, детки, хоть опыта наберётесь.

[Сергей]

Да ну нафиг? Озвучьте ваш университет. Я к вам на заочку пойду. С делл венуе про 11. Как только вернут с ремонта. У него отсутствует сетевой порт вообще. Вот прокуратура обрадуется что сертифицированное устройство не может быть подключено при помощи другого сертифицированного устройства к вашей чудо сети.

[Сергей]

А уж как обрадуется Роспотребнадзор ... словами не передать

[rmg]

Сергей: Я знаю ответ провайдера: 1. Мы не будем с вами заключать договор в связи с бла-бла-бла. 2. Вы можете использовать беспроводную точку доступа.

[Сергей]

Впервые слышу чтоб монополист мог отказать от предоставления услуги. Я пойду к другому провайдеру (проводному) .. попытаюсь заключить договор .. обосную запросами к высокому качеству связи по причине работы .. он пишет отказ ... так как в студгородок его не пускают (так как там очень любят бабло и космические тарифы) .. потом пойду в студгородок (в отдел ит) со свидетелями .. и предъявлю планшет и попрошу его подключить к интернету с помощью моего роутера. Если последует отказ .. то в Роспотребнадзоре будут очень рады .. прям сино сино.

Можно сделать еще проще. Договориться с соседними зданиями и поставить две антенны в режиме точка - точка и на них зацепить роутер и пусть он шмалит по всем этажам. Как только провайдер останется без прибыли .. начнет крутится. Или ему найдут замену.

[rmg]

Сергей: Если у Вас есть роутер - они переводят его в режим работы "беспроводная точка доступа" и все - Ваше устройство можно подключить к сети. Но не другие устройства. Можно еще подключить (по mac адресу) сколько хотите устройств. Условия такого подключения: за каждое устройство дополнительная плата (типа за статический IP) и одновременно будет работать не больше двух устройств.

[Сергей]

Можно провод натянуть с соседнего здания. У нас в городе есть такая возможность для студгородка. Но инет по вафле и так халявный. Просто балансировка хорошо отрабатывает.

[Сергей]

rmg: нука стоп. а вот это уже интереснее. вам об этом нужно было указать. напишите примечание в вашем вопросе. это играет роль. А доступ к такому роутеру на вебморду у вас есть?

[rmg]

Сергей: В этом ничего примечательного нет, так как точка доступа (как я понимаю) только ретранслирует сигнал, и является просто как бы "продолжением кабеля". Или что именно примечательным Вам показалось?

[Сергей]

тем что там нету ната =)

Answer 4

[Sergey SA]

есть вариант сравнить пакеты на IP уровне влетающие в роутер и исходяшие из него.
может всетаки роутер TTL уменьшает, ну и попробовать мак махнуть.
так есть вариант, что провайдер режит по src-port, в Windows 7 и выше диапазон динамических портов 49152 — 65535.
А так вообще, нужно смотреть договор, провайдер предоставляет канальную емкость, а дальше его в принципе не должно волновать, как он используется (кроме случаев из УК РФ)

Comments

[rmg]

TTL не уменьшает и mac прописан (иначе на роутере просто не было бы Интернета).
В договоре есть пункт, согласно которому нельзя самостоятельно изменять топологию сети. Ну и спорить с ними бессмысленно (когда мне стает скучно и одиноко - начинаю засыпать вопросами "почему нельзя", но результат один - нельзя и все). Но даже если брать закон, то я же с помощью роутера буду передавать услугу третьим лицам (априори).
Вот про порты, если можно, более подробно расскажите )

[Sergey SA]

rmg: когда роутер нат делает, он берет порты 1024-65535, а винда для исходящих коннектов использует динамику из 49152-65535.
Про закон - 3-им лицам нельзя, но а если у вас 2 устройства?или ВМ? )

[rmg]

Раньше виртуальная машина работала, если на ней установить TTL на один больше, чем на основной ОС. Теперь же работает в любом случае (то есть способ блокирования роутеров изменился).
Про несколько устройств уже писал: регистрируем каждое устройство отдельно (по mac), платим за каждое устройство каждый месяц (за статический адрес), переводим роутер в режим беспроводной точки доступа и пользуемся WiFi (не более двух устройств одновременно). Уже много раз спорил с службой поддержки на эту тему..