为何电信能侦测到"多设备正在共享网络"

方法很多，比如 ip 头（透过 NAT 会有标记什么的我也不太懂楼下指正）、 ttl 、 user agent ，甚至行为侦测，比如你一般不会同时听着音乐又看着视频。

这两天正在研究 IP 报文结构。
IP 报文里面有个 16 位标识，正常系统是全系统每发一个包+1 ，初始值是根据系统引导时间设置的。
单电脑的 16 位标识是连续的，只要发现不连续的标识就可以认为有多台设备。

@gamexg 是不是就算通过路由器的中转，也能侦测出你说的不连续的标识呢？我对这些原理完全不懂。请教。

测速环境检测完成，建议处理以下问题多设备正在共享网络： 10 台电脑
带宽被其它程序占用： 2 KB/秒 22 KB/秒
建议关闭部分程序：共 11 个
湖北联通也可以被发现
不过加上我的交换机和 2 级路由器和用户确实是 11 个

@KenGe 我测试过，在不同的省，用电信的宽带，也都能检测出共享的用户数。
之前有一次突然打不开网页，电信的外包维修说，是用了路由被侦测到了，猫的 mac 被封。给换了一个猫立即就好了。这次偶尔发现，电信还真是有这个能力。要是以后限制宽带的终端用户数，就有点麻烦了。

@Zachery 深圳电信已经这么做，限速 1/3

@xuhaoyangx 是不是说超过一定数量的终端，就将总带宽变成 1/3 ？电信真狠啊！你管我接几个灯泡啊。
但是就没有办法可以隐藏起来不被发现吗？

组个 vlan 隔离开行不？

意思是从路由端设置 vlan ，只有当前 pc 连入测速页面且可以被检测，剩下的所有机器接入 vlan 被检测为只有一台机器，行不？

@kmahyyg vlan 我完全不懂，不知道怎么设置。不知你有没有空帮忙测试研究一下。

@Zachery 可以通过 linux 的上的 ip 伪装骗过去，理论上。
现在就是走流程，今天刚去工信部投诉，反正我家是经常和电信撕逼， 100M 我都用了三年， 2 年来家里网络架构硬件都没变过，突然限速 1/3 简直不可忍。

最搞笑的，派上来的师傅说，电信没有做限制，他只管电脑接光猫拨号速度正常，结果我用 linux 拨号上网也被限速 2333 。然后继续 10000 号投诉，说接路由器设备就会被分流速度，两者互相冲突，做好撕到套餐结束的时候

最简单 IPID

安装电信的插件了?
会扫描当前主机的内网信息吧.

虚拟机内开启, 桥接模式 会发现手机和其他电脑, NAT 模式 只能找到宿主机和自身.

keyword:网络尖兵

大体上是端口检测配合一大堆技术。坑爹。

@Zachery
@xuhaoyangx
(｡☉౪ ⊙｡)卧槽，电信好贱啊！不知道联通有没有这样做？

@sutking 看四楼的回复 联通也可以被发现 说明几家侦测技术上应该都没有难度了 下面就是何时找我们开刀这个时间问题了

@tanyuxiang 那有没有办法隐藏起来呢 用什么设备 如何设置一下

楼主，你没看到我的回复吗？
你不搜索一下？有路由带防尖兵的功能。

@loading 多谢 正在看相关的帖子 似乎磊科的路由器可破 也有帖子说磊科现在也没有用了

@Zachery 我有磊科的路由 NI360 刷成 NR236 ，今晚回家记得的话我去试试

@ThreeBody 多谢多谢 有了结果再发上来讨论哈

@Zachery 你已经用两个路由器了，简单的端口检测是检测不出的。不知道到底是啥新手段。随便借个带破网络尖兵的路由试试吧。

关注，东莞电信不限设备

好吧，今天实测了一下，发现 Windows10 IPID 不是全系统连续递增的了，看样像针对目标 ip 递增。
这样比较麻烦些了，需要测试同一目标 ip 的 ipid 是否顺序递增才能知道是否有多台设备。

除了这种办法还有很多办法可以发现多台设备，例如 cookie 、 ttl 、 User-Agent 等方式都可以识别到多用户。而且 cookie 探测很难做防探测，类似于反入侵检测系统了。

全局 vpn ？

@v1024
@gamexg
@KenGe
@xuhaoyangx
@loading
@gamexg

你们都 too simple 了。真正的原理是这个：

@est 图裂了？

假的，不准的。江苏电信早就搞这个了。

MAC 地址？

@xuhaoyangx 换个 modem 就行， modem mac banned

@est 我也觉得，昨天上厕所我就想说了，然后就拉完了，就没说。。。

北京联通也能探测到，直接让多交钱

@est 这么说，主要是这个 ie 插件的发挥了测速时侦测共享主机的作用？如果这样的话，是不是我们也不用担心什么了？

居然这个年代还有不许多终端的宽带？谁家没一堆手机 ipad 的

散了，散了。没什么黑科技，这货监测多少终端 就是通过狂发 arp 实现的。

实验方法：

先执行 arp -d 清除 arp 表缓存。

然后执行 arp -a 看缓存表

然后打开测速页面。安装插件。

再执行 arp -a 查看缓存表

你就明白了

更直观的。可以抓包 抓广播包看下。

@Zachery 看了一下要装插件，然后再看看上面的回复，看来我不用测试了，我还以为只要 web 测试就能确定了

看 南京信风 的网络监兵设备的 介绍

只有通过 vpn 来突破. 不然没办法的!

能判断的特征实在是太多的

不管你怎么折腾为什么还是能检查.因为是基于 ip 包的检查.
里面能提取的特征实在是太多了 很容易判断多设备
为什么 vpn 确可以突破. 因为他们只能查到 vpn 的加密隧道,不能看到里面的内容

是查数据包中电脑网卡的物理地址吧？

研究下 IP 协议就知道这是多么简单的事情了

@smileawei 66666

@xuhaoyangx 成功找到你....

@hAppyTreeFrienDs 你是

都是插广告，顺便检查一下你是不是用了共享啦。插广告的时候浏览器的分辨率之类的信息，它就收集到了，然后分析一下，就知道你有几个机器共享上网。

这么高级啊，用的电信送的设备？把木马带进家里。

电信的光纤设备直接 5 个终端限制，竟然要申请来才 8 个。不喜欢用电信的设备拔号各种限制各种坑，早些年送的 adsl 猫一迅雷速度就从 2m 变 1m ，刷了 tp 固件解决，电信客服当然说我们不会限制用户的，其实设备里各种坑。 20m 的光纤还不如 4m 的速度，还是得用自己的设备拔号。

以前有些据说是用一些 snmp 协议侦测的，没道理可以越过 iptables 防火墙检测到内部数量，用电信设备就不说，现在的光纤猫电信都远程控制直接帮你更新固件，至于网页能马上侦测到，原因不明。

我觉得这东西他限制不了终端数量的


这限制如果真的流行起来 估计淘宝上就会有卖过限制路由器了~

@datocp 是的 电信的光猫 华为的 我试过两个地区的不同型号的猫 都能发现
可能正如是上面 v 友提出的 是 ie 测速插件的作用

@h1029306 三层隔离广播

@xuhaoyangx 旧关方团友

@Halry 南京电信校园宽带用户路过，电信在我们学校封路由那一阵子，天天被 RST 。
我们几个都不记得自己装过什么测速控件。
被 RST 的也不止我一个， V2EX 上就可以找到好多位吧，难道都中了这个 ActiveX “木马”不成……