最近@孙建军的网络封杀越来越严了, 不但不让接路由, 还不让插随身WIFI, 甚至某些网站也被屏蔽了.
带着淡淡的"敬佩", 看了看学校用的上网行为管理软件, 是一家叫"深信服"的公司做的.
看其官网, 好像很牛逼的样子, 在成功案例上赫然写着移动联通电信这些网络服务商, 甚至还有文化部...文化部...

先百度了以下有没有什么破解方法, 结果令我大吃一惊:
这款软件不仅可以限制网速/设置禁止二级路由, 甚至可以监控内网所有计算机的上网记录!
在官方说明中, 看到不仅能看到浏览的URL, 还可以截获POST请求, 连QQ聊天记录都看得到,
甚至... SSL加密的网站也不能幸免...
不愧是网关级的上网行为管理啊...
百度了很多, 大部分都是这样的:

  • 从事IT行业15年, 依然无计可施
    从事IT行业15年,依然无计可施
  • 想破解是不可能的...
    想破解是不可能的
  • 什么? 让我们向网管低头?
    什么?让我们向网管低头?

顺便去了乌云这些漏洞平台, 发现了不少深信服的漏洞, 但要么版本过旧无法使用, 要么危害比较低, 做了也没什么卵用.
越接触越感到这软件的可怕, 甚至还可以伪造安全证书什么的... 网银也算是跪了...

如此说来, 学校师生何来上网隐私可言!?
又百度了一下这样的软件合法吗, 结果又让我大吃一惊...

  • 合法不合理...
    合法不合理
  • 法律上说得过去...
    法律上说得过去
  • 说的跟网管是弱势群体一样...
    说的跟网管是弱势群体一样
  • 我学网络管理的同学也是这么说的...
    我学网络管理的同学也是这么说的

这是... 法律在给中国长城防火墙留后路么...
在这一刹那, 我有种想DDOS攻击学校的想法, 甚至想提溜着锤子去敲写这些软件的人...
但... 我知道这些是犯法的...

真的没有办法不被安全审计吗? 连SSL都给跪了...
一开始的解决方案是自己搭建VPN服务器:
在外网搭建VPN服务器后在校内网连接, 组成虚拟局域网, 全程AES-256加密, SHA-1验证密钥(防止深信服伪造证书).
经过数小时的折腾, 终于可以访问禁止访问的网页了...

  • VPN前:
    访问拒绝
  • VPN后:
    访问允许

至此解决了某些网站被屏蔽和安全审计的问题, 但不能插随身WIFI的问题依然没有解决
WIFI访问拒绝

突然想想, 这些其实都是治标不治本的方法:
VPN对于网管来说只是拉一个黑名单的事儿, 说不定哪天上网改成白名单允许, 就没辙了.
想从根本上不被监管, 几乎是不可能的, 毕竟是网关级别的流控...
毕竟是网关级别的流控...
网关级别的流控...
网关级别的...
网关!!!
用别的网关不就可以了吗!!?
以此为突破口, 分别想了CMCC/4G上网卡/手机流量分享等方法, 都因为价格原因没能实现.
看看窗外的居民楼, 忽地想到了别的解决方案...

先从淘宝淘了一些设备/工具:

  • 一个清仓处理的POE供电网桥, 原价300+, 现价80, 不带电源不带天线不带外壳, 只是一块儿电路板.
  • 电路板上网线接口是MMCX的, 所以需要再买一个MMCX -> SMA接口的馈线, 11元
    网桥天线

再就是自己已经有的了:

  • 六六大顺平板天线(之前坏网桥的天线), 支架是我的小伙伴儿@张汇祯帮忙3D打印的, 十分感谢!
    天线
  • 12V1A的电源(之前坏网桥的电源)
    电源
  • 在测试中, 这个电源输出的电压电流都达不到所标的额定值, 质量很是一般, 所以就拿了之前一个断了线的开关电源, 12V3A, 质量很不错.
    好电源

然后就是改造网桥了, 因为没有POE供电模块嘛, 看到左下角有DC接口是很开心的, 结果他丫的没接电路...
只能通过网线强供了, 接上可调直流稳压电源, 12V, 灯亮, 应该是正常工作了.
看PCB, 只有1,2,3,6接了网络滤波器, 7和8跟地导通, 剩下的4,5应该就是电源了.

然后就是破解对面居民楼的WIFI了,
关于破解WIFI犯不犯法, 也在网上咨询了律师:"不使用或者有其他作为即不存在犯罪故意,不会涉嫌犯罪。"
通俗点儿说就是只要不用这个WIFI做违法的事/不对WIFI所有者造成巨大损失即可.
作为一个有有良知懂人性的人来说, 能通过它上网已经很感恩戴德了, 那样的事是绝对不可能去做的.

破解WIFI的重任就交给了我同学@李志博,
他用虚拟机+CDLinux+六六大顺天线+他自己的3070网卡跑出来了1家密码.

万事俱备只欠东风, 麻溜的下载了WinBox
配置好了网桥的模式, IP地址, 网关, DNS等必要的东西
连上对面儿的WIFI, 网桥便开始工作了.
MikroTik

独乐乐不如众乐乐, 将网桥接入路由器, 发射WIFI信号, 这样手机们也就能上网了.
再将路由器的LAN口和学校的网络连起来, 开启DHCP, 这样老师们如果使用自动分配IP的话就会连上我的网络而不受网管的管辖.

当然还有更进阶的玩儿法:
学校是IP/MAC绑定, 先用虚拟机虚拟出N个网卡, 分别修改其MAC和IP, 如此就可以虚拟出一台主机N个网卡的情况
之后再通过OPENWRT和cisco交换机的配合, 做多网络均衡负载.
OPENWRT中添加规则: 某些可以通过学校访问且无隐私的网站依然经过学校的网络(但也会加密),
而像游戏网站, 支付宝这样被学校禁用或涉及隐私的网站经过所搭建的网桥(依然会加密).

在做了上面这么多之后, 看看疗效:
testspeed

注:
1):VPN != 翻墙
2):咨询律师为: 山西-太原 朱君秀 律师
3):所有数据全程使用AES256加密的VPN连接