谁知道fttb登陆原理？

FlowJZH

近来的fttb居然要求登陆了？这里面有什么猫腻？是dns的问题吗？还有那个监视窗口到底能监视什么？关掉了照样能上网啊

如果弄清了原理，是不是可以编个客户端软件来解决它，毕竟每次开ie太麻烦了。

FlowJZH

做了一个实验：在没有登陆的情况下ping dns服务器，可以ping通，而且ping www.online.sh.cn可以得到ip� ... �是很清楚了。

至于xuanren大哥所说，其实我们学校现在就是通过MAC和ip的绑定来认证使用的合法权限的，但是这个东东改起来太简单了，可以说MAC也和普通的参数比如ip一样可以随便设置。如果是MAC和端口的绑定，可能安全性是要高一些，不过我们学校之所以没有将ip,mac,端口三绑定据说是因为这样做服务器负担太高了，无法实现。不晓得电信有没有这个实力了。

至于现在他的验证，真不明白在做什么，登陆以后似乎一点功能都没有实现。如果说是要为了将来的流量控制打基础，那也不能就用ie当客护端的检测啊，一是很容易关掉，而是总是挂着这么一个窗口很不爽。哪位晓得新联所说的“为了加强监控”一类的话到底是为了什么？他们让我们登陆以后可以从我们这里获得什么样的资料？

xuanren

最近周末在参加CISCO的培训，授课的朋友素质挺高的，是为数不多的CCIE级别。无意中谈到校园网的建设，因为他本人是写系统架构方案的，所以对这个深有感触。因为校园网一般是从教科网介入的，所以需要按流量收费。那势必要控制内部用户网络使用，以及预防内外部CRACKER骚扰。他们的解决方案是在SWITCH级别上将MAC地址绑定，SWITCH的以太网口将对应着一张MAC地址表，然后根据另外连入SWITCH的服务器上设定的策略来确定该用户是否有效。除了使用DDOS攻击将正常用户搞垮，伪造它的MAC地址的方法来获得权限，我想也没有其他方法了，不失为一条治标的策略。

至于这里谈到的嘉定的FTTB，如果真是通过DNS重定向到认证服务器的话，那正如FlowJZH所说是否可以饶过这个DNS，自己指定或者通过其他已经通过验证的做代理？如果将来要按流量收费的话，那FTTB用户的安全性可是个问题，用个SNIFFER抓包后，写个SOCKET套接字，每次启动时自动随机按抓来的不同的用户密码登陆，那岂不乱套？个人觉得应该按MAC地址绑定做来的安全，至少在用户级别上是不容易玩什么花样的。。。

ilsem

原文由 FlowJZH 发表

从理论上来说你的那个想法也不是没有可能

FlowJZH

xuanren大哥好呀，呵呵，最近考试，忙，忙得回来发现fttb变成这个样子了

对于ip的分配，我觉得不是要通过登陆才能得到的，一开机会自动得到，而且是61开头的，是公网ip，这一点倒是新联的改进，值得称赞~~~

正如楼上所说，输入任何网址在没登陆之前都会重定向到登陆页面，怀疑是dns的关系，我想是不是这样。在新联的dns上有某种机制，没有注册过的ip请求时会重定向到登陆也面，只有注册登记了的ip才可以得到解析？因为那是用jsp程序写的servlet，应该可以很方便地控制dns的配置什么的吧。至于对它的验证也不难，指定一个别的dns试试就好了，等等我来做实验，哈哈。

反正无论如何，用C什么的写个socket的程序发送登陆的http信息服务器，每次开机的时候自动运行这个程序应该能解决这个问题吧？各位觉得呢？

ilsem

原文由 xuanren 发表

mac地址没绑定吧，我都换了好几块网卡了，至于fttb我估计是电信的dns服务器搞的鬼，随便输入什么网址，只要你没登陆它肯定会重定向到电信的登陆页面
还有，这里好多人的端口这个概念和你我的端口这个概念是不一样的

完美风暴

4242很烦的

葡萄干

不懂了

xuanren

葡萄所说的指定端口我觉得不太可能，随机端口如何设定，最多也只能设定目的IP和端口，CLIENT源端口的设定想必实现上有些困难。。。

可能：
1。MAC地址绑定？这里有电信的吗？城域网内用的是什么型号的防火墙？边界？分布式？是绑定在SWITCH还是FW上的？
2。除了MAC地址，除非使用的B/S模式的数字证书认证。在城域网出口有个CA证书发证中心，然后通过CLIENT以浏览器登陆界面时，输入发证中心发出的证书用户和密码后，经授权系统确认后，才获取登陆权限？

一家之言，猜测而已

葡萄干

电信指定了每个用户的端口,得通过账号和密码访问INTERNET