星空极速 （社交工程学）

派员工上门，借口网络升级或查杀病毒等，为用户安装该软件。用户安装并运行该软件后，局端密码被更改，

原来系统自带的拨号工具无法使用（提示用户名密码错误），多用户通过路由器共享上网也被限制，部分地区

甚至会弹出无法屏蔽的小广告窗口，卸载“极速星空”软件也不能重新恢复到原来的状态


tcpip协议有很多东西可利用来检测nat后的主机信息，可用的手段很多，根本不需要扫描用户，在线路上监听

就行，既所谓的被动指纹技术

按信风网站的说法，L2到L7都利用了，这样的话，低层可用被动指纹技术，高层可用绿色上网那一套，向用户

发送欺骗cookie，这个根本躲不过去，除非浏览器关掉cookie，但这样浏览网页会很难受，很不幸绿色上网设

备也是南京信风出的……那套设备里肯定整合了这个技术


1.在web访问中强行插入小的探出窗口来设定cookie和判断cookie。如果几台共享上网的机器都看了网页的话，

可以根据一个ip地址设置了cookie以后，再检测的时候看有没有cookie来判断是不是多台机器上网。不过这种

办法只能是辅助判断手段，因为客户端可能禁止cookie，也可能不上web。

2.ip数据包的序列号。ip协议中对数据包定义有连续变化的序列号，如果有几台电脑同时上网，则ip序列号会

有较大的跳跃。这种检测办法要对所有的网络流量检测，消耗比较大。不过，ip序列号本身对网络通信的过程

没什么影响，把每台机器的ip序列号都固定下来就可以防范这种检测手段了


3. 使用了多种方式进行检测，包括TCP包的TTL数值、Http User-Agent 系统OS指纹、并发连接数、MAC地址、

SNMP检测等等。想避开检测还真是有点难。
关于TCP包的TTL数值问题，一个TCP包每过一个路由会减1，这个倒好解决，可以在QEL服务器上插入一条

iptables指令，将OUTPUT输出的包的TTL统一固定为64或者128即可。
还有TCP包的ID的检测，这个比较难办，这需要修改底层协议，重新改内核才有可能。

Http User-Agent可以在某些浏览区里面修改

将每个TCP的包头中的可选扩展段用来打标每台机器的时间戳，想必每台机器的时间不会都调得如此精准，每个

机器发出的时间戳的误差不会完全相同，利用这个时间戳也可以大致判断内网的机器数量。

打乱IPID的发包规律，或者顺序或者分散IPID就能使电信的检测系统失效，将机器的时间戳没掉或者用

Internet时间同步

DNS 和http会话劫持和并发连接数的检测正常状况下也无法避开

大致是你发出http请求，电信截获该请求，伪装目标服务器返回定制的数据给浏览器，浏览器隐藏打开连接至

电信服务器报告从浏览器获取的信息，最后电信将连接重定向至目标服务器完成正常连接
还有丢弃WEB真实IP返回电信的IP   DNS 劫持类似于GFW和Push广告业务
当用户上网以后就自动推送电信广告,或和查处代理上网相结合,向"犯规"的客户端推送警告信息.
一般来说该系统是放置在宽带接入服务器（DSLAM）的后面


破解办法 （可能已失效）

BSD＋PF反共享检测补丁

coyote＋反共享检测补丁

使用共享神盾软件每台客户机都要安装

升级路由器的固件