Answers:
网络提供商通常不想谈论如何检测到某人正在捆绑设备,因为显而易见的原因是,越来越多的消费者了解如何检测到此问题,他们越容易找到隐藏设备的方法。他们正在这样做的事实,并避免了相关的额外费用(1)。但是,如果您的服务提供商恰巧正在运行正确的工具来检查以下指标,则某些已知的技术可以消除您当前正在绑定的事实:
第一种也是最简单的方法是,某些电话将查询网络,以检查当前合同是否允许网络共享,如果没有,则完全禁用设备中的网络共享选项。通常,仅当您运行由提供程序自定义的OS版本时,才会发生这种情况,例如示例1 示例2。
也有传言说,某些电话通过电话网络在其中保存了第二组APN详细信息,当您启用网络共享时,它们会切换为使用此第二APN来处理所有网络通信,而使用普通APN来处理来自电话的通信。但是,除了人们发现奇怪的APN并想知道它们的用途外,我没有找到任何具体的证据(请记住,以合同形式购买的未锁定手机可能会存储成百上千的APN,为最终所有者决定在哪个国家/地区的任何网络上使用)。
每个通过TCP / IP网络传输的网络数据包(如Internet)都设置了内置的生存时间(TTL),因此,如果该数据包到达目的地存在问题,它将停止它永远在网络上四处旅行,阻塞了一切。
这种工作方式是,当数据包离开发送设备(您的手机或笔记本电脑)时,它以设置的TTL编号(例如128)开头,然后每次该数据包通过任何类型的路由器(例如您的路由器)家用宽带路由器,或者您的ISP或电话公司的路由器),该路由器从TTL中减去一个(在此示例中将TTL减为127),它经过的下一个路由器又将TTL减一,因此开启时,如果TTL曾经达到零,则位于它的路由器将丢弃该数据包,并且不会再次发送它。
当您的电话进行网络共享时,它就像路由器一样,当数据包从您的网络共享笔记本电脑通过您的电话并进入电话网络时,您的电话将从TTL中减去“ 1”,以表明数据包已通过其第一个路由器。电话网络知道常见设备的预期TTL是多少(例如,来自iPhone的数据包始终以64的TTL开始),因此它们可以发现它们比预期的少(或完全不同)的情况。
TCP / IP网络上的设备(例如Internet)都在其网络接口上设置了唯一的MAC ID。它由两半组成,一半标识接口的制造商,另一半是制造商分配的唯一标识符(如序列号)。发送的每个网络数据包都将使用原始设备的网络端口的MAC地址进行“标记”。笔记本电脑的wifi卡的MAC地址将具有与手机3G接口的MAC地址完全不同的制造商和序列号。
不同的计算机操作系统(例如Android,iOS,Windows,Mac OSX,Linux等)使用不同的默认值和设置(例如,初始数据包大小,初始TTL,窗口大小...)设置其TCP / IP堆栈。这些值的组合可以给出一个“指纹”,该指纹可用于识别原始设备上正在运行的操作系统。这样做的副作用可能意味着,如果您使用的是不常见的操作系统,或者与其他设备上的手机相似的操作系统,则可能不会发现您的网络共享。
通过设备定期进行通信,您可以学到很多东西。
例如,如今,许多操作系统在首次连接到wifi网络时(例如,您的wifi系绳连接)都会执行“ 强制门户检测”,它们是通过尝试通过Internet连接到已知的Web服务器并检查是否检查它们来实现的得到他们期望的回应。如果未收到预期的响应,则可能是您所连接的wifi连接是“强制门户”,并且可能需要您登录或付费才能连接到它。由于Microsoft操作系统(例如Windows Vista和Windows 7)默认情况下会使用Microsoft服务器进行检查,而其他操作系统(例如Android,MacOS等)都将连接到其母公司的服务器以进行这些检查,因此可以很好地指示其运行情况。刚建立连接后的系统。
此外,如果设备定期与Windows Update服务器联系,则很有可能该设备是Windows PC或笔记本电脑,而如果它定期与Google的Android更新服务器进行检查,则可能是手机。或者,如果他们看到您正在连接到Apple App Store,但SIM卡所在设备的IMEI表示它不是Apple设备,也许您是将iPad绑定到Android手机?
更复杂的系统可以查看整个数据范围,以查看您正在与谁进行通信(例如,您是通过电话连接到Facebook应用程序的API服务器,还是通过PC连接到Facebook的网络服务器)并将这些指示器的全部负载加在一起,以创建一个指纹,以指示您可能使用的设备类型。当新的设备类型和服务问世时,其中一些指纹可能会被捕获,例如,有报道称,内置3G平板电脑问世后,AT&T网络上的这些指纹的一些所有者收到了邮件,警告他们不需要时就可以进行网络共享,因为这种新型设备的指纹看起来并不像典型的手机。
(1)显然,在尝试使用任何方法绕过网络共享检测之前,请记住要检查您的电话合同和电话公司的网络共享政策。对于试图绕过限制和限制的人们,他们的合同,合理使用政策或可接受使用政策中可能包含有惩罚条款。
实际上,移动网络Internet提供商主要使用带有URI指纹的深度包检查来检测网络共享。这是用于大规模操作的唯一可行方法。他们可以使用已知的站点(例如Windows更新服务器)来检测它是正在访问的非电话设备。或对于HTTP,请阅读Web浏览器用户代理以检测该浏览器是否适用于非电话平台。
话虽如此,这些方法有一些明显的局限性。
因此现实是,从操作员的角度来看,系链检测是一种平衡行为。它们通常仅能实施足够多的功能,以阻止常规的非极客用户(构成绝大部分的移动用户)。部署更严格的检测以阻止精通技术的用户通常不值得付出努力,并且可能会因生成过多的假阳性事件而事与愿违。只要他们为使用过的数据付费,他们就会另辟look径。
他们宁愿将精力集中在黑客上,并阻止由于网络攻击而造成的收入泄漏。
最简单的方法是TTL检查。如果您将连接路由到第二台设备(通过移动wifi热点或其他可行方式),则电话公司的路由器会在数据包通过时发现某些TTL值与其他TTL值不同。由于存在可用于许多设备(更具体地说是其操作系统)的预期初始TTL值的表,因此电话公司将立即发现问题,因为它们可以轻松计算出数据包的来源“有多远”。它不需要深入的数据包检查,因为TTL值可在任何类型的IP数据包中提供给所有人查看,并且实际上是在数据包传递到目的地时由路由器修改的(每次通过时递减1)。因此,解决方法非常简单。
deep packet inspection。您可以通过Stacheldraht包围的TOR,隧道和vpn进行反击。