情况概述
我校使用的校园网是由Dr.Com 哆点网络
提供的鉴权方案,其中通过自建云服务,对接了哆点的Portal
登录协议。
网络类型
- 校内WIFI: 校内基本覆盖了Wifi,连接后自动跳转到 哆点网络验证页面。
- 寝室有线网络:寝室内有光纤口,学校内仅有的联通营业厅提供光猫抵押服务,通过其抵押的校园网专用光猫(带Wifi功能),连接光纤口后会自动注册下发配置,将管理后台彻底关闭,关闭Wifi功能,仅支持LAN口的DHCP。
验证方式
普通未绑定运营商账号的学生账户,与学校的CAS系统账号密码同步;而绑定了运营商账号的账户,则是普通的学生账号但是添加了2
作为后缀区分,密码则是完全相同。
未绑定运营商账号登录时,除了密码之外的参数都是明文,而绑定了运营商账号的登录请求参数 全都是明文。
成功登录后,校园网会以客户端IP
为 唯一标识 用以作为判别终端数量的一个基础标准。
校园网针对终端限制进行的检测措施
User-Agent 检测
于 2024年第一学期 勘测发现,校园网新增了 UA检测 用以进一步对多终端共享网络这一行为进行限制。检测到多终端后,便会进行 5分钟的连接阻断。User-Agent
是HTTP请求的一个请求头,其中包含了浏览器信息和设备信息等,可以用于区分不同终端。应该注意到的是,User-Agent在HTTP请求中是 明文 的,在HTTPS的第一个请求中也是明文的。Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36
便是一个正常的User-Agent
内容。
你也可以通过专门的UA检测网站来查看你当前的User-Agent
。
尚未发现的检测措施
目前我校仅仅部署了UA检测,尚未发现其他检测措施,但也了解到了一些其他的检测措施。
基于 IPv4 数据包包头内的 TTL 字段的检测
DPI (Deep Packet Inspection) 深度包检测技术
基于 IPv4 数据包包头内的 Identification 字段的检测
基于网络协议栈时钟偏移的检测技术
Flash Cookie 检测技术来自 sunbk2011
校园网优化方案
对抗终端限制
首先我购买了一个路由器用以伪装成一个终端,连接寝室光猫使用,从而达成网络共享的目标。我购买的是红米 AC2100
2,价格低廉,可玩性高,使用了集成了UA2F
的OpenWRT
固件3。
学校目前仅仅部署了User-Agent检测
,这也是最常见的一个检测,其中有多种方案来对抗。
UA2F
4 为多种设备提供了User-Agent
修改方案,其使用iptables
对流量进行判别修改,会与其他使用connmark
的程序发生冲突,例如mwan3负载均衡
。UA3F
5 是一个SOCK5
代理服务器,它通过接管通过SOCK5
客户端转发来的流量,对HTTP
数据包进行修改。但是针对性能较弱的路由器,可能会出现内存不足等问题。- 可以直接使用
代理工具
,将流量重定向到代理服务器
,这一过程是加密的,因此也可以用于绕过UA检测。
多终端速率叠加
我校校园网以高出市场价几倍的资费进行出售,实在是可恶。一般购买的是 50M / 2个终端
套餐,因此可以考虑通过单线多播
,实现50M速率的叠加。
macvlan
创建虚拟网口 实现单线多播
安装过程不做赘述,可以搜到很多的 macvlan
安装教程、
- 通过
ifconfig
得到自己真实的wan口名称,如eth1
。 ip link add link eth1 name macvlan0 type macvlan
创建一个虚拟网口,如果有两个终端则可以创建两个。
mwan3
实现负载均衡
前面提到已经实现了多个虚拟网口,现在只需要使用mwan3
对这几个虚拟网口进行负载均衡即可达到速率叠加。
自动认证
- 可以编写
shell脚本
, 结合crontab
实现定期运行 - 使用
nettask
6设置事件触发,同时也需要配合脚本。
打包出售的校园网绕过方案
GSWIFI
7, ASWIFI
利用已经开放端口,外部架设免流代理,从而无需认证即可访问外网
经测试,哆点认证
未认证也不会封锁53端口。