V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
JackyBao
V2EX  ›  宽带症候群

开贴说说如何免费使用基于 DOCSIS 协议的宽带

  •  
  •   JackyBao · 2017-01-22 16:37:18 +08:00 · 10469 次点击
    这是一个创建于 2894 天前的主题,其中的信息可能已经有所发展或是发生改变。

    以前那种接有线电视线,然后给你一个 cable modem ,路由器设成 DHCP 就能上网的宽带,不知是否还有人记得?一般这种宽带都是当地的有线电视运营商来运营的,比如上海的东方有线。

    现在这种上网方式在上海已经基本绝迹, NGB 改造后,都变成 PPPOE 了,其他城市不是很清楚,欢迎大家补充。

    下面就和大家说说这种老式的基于 DOCSIS 协议的宽带认证过程存在的一个很愚蠢的 bug ,让用户可以不付费就能使用。

    以下提到的内容技术上可能并不十分准确,因为 LZ 既没有在相关运营商内工作过,也没有正统的学习过相关知识。一切全靠个人理解,以及 google 。各位感兴趣的,想进一步了解的,欢迎自己 google 。

    先抛砖引玉一下,什么是 DOCSIS 。想了解的点我: https://en.wikipedia.org/wiki/DOCSIS

    以下所有内容都是 LZ 十几年前研究的,比如 DOCSIS 协议, LZ 只研究到 2.0 ,后面的版本据说修复了这个漏洞,不过后面的事情 LZ 就不知道。

    先去撒泡尿,回来慢慢写。各位若要喷,请轻喷。

    73 条回复    2020-07-12 17:47:45 +08:00
    ovear
        1
    ovear  
       2017-01-22 16:45:09 +08:00 via Android
    目测大新闻。。先支持一波
    millson
        2
    millson  
       2017-01-22 16:47:51 +08:00
    前几年用过广电的宽带,貌似符合描述
    JackyBao
        3
    JackyBao  
    OP
       2017-01-22 16:50:23 +08:00
    先简单说一下 DOCSIS 协议的宽带,他的认证过程是怎么样的。
    1. 上电自检
    2. 搜索下行和上行的工作频率。
    3. 向局端发送一个 DHCP 请求。
    4. 局端收到后,回复一个内网 IP , DHCP option 里面会包含一个配置文件下载地址。
    5. 下载配置文件,然后就连线成功,可以正常上网了。

    整个初始化完成以后,你接在 cable modem 后的路由器就能 DHCP 到公网的 IP 了。 cable modem 现在起对用户来说就是一个透明网桥。

    聪明的你有没有想到整个认证过程的 bug 在哪里?
    c0878
        4
    c0878  
       2017-01-22 16:59:37 +08:00
    十年前广电有线通宽带就是这样的 闭路线接一个猫 现在应该没人用了吧
    azuis
        5
    azuis  
       2017-01-22 17:07:10 +08:00 via iPhone
    美国用这种的还很多…
    vibbow
        6
    vibbow  
       2017-01-22 17:10:35 +08:00
    欧洲用 DOCSIS 的还不少吧,现在是 3.0 了。

    认证过程好像不是这样的,好像是证书认证的。

    然后我把猫设为桥接口,猫后面的每个设备都可以获取到一个外网 IP...
    yawen263
        7
    yawen263  
       2017-01-22 17:13:03 +08:00
    dalao 要出大新闻了,先去买点瓜子,坐下观摩
    yexm0
        8
    yexm0  
       2017-01-22 17:13:59 +08:00
    是的,要证书认证和绑定 mac,弄得想换个猫都不行.
    fengyuwujian
        9
    fengyuwujian  
       2017-01-22 17:16:09 +08:00
    @JackyBao 可以自行修改配置文件?
    JackyBao
        10
    JackyBao  
    OP
       2017-01-22 17:18:25 +08:00 via Android
    @vibbow 没错, 3.0 的证书就是为了封堵这个漏洞,但是我肯定国内很多运营商还在用 1.1 。
    lekai63
        11
    lekai63  
       2017-01-22 17:28:32 +08:00
    所以这个方案可能适用于广电系统的宽带??
    杭州的比如 华数?
    可是现在宽带都是光纤接入了。不是以前有线电视的同轴电缆了。会继续使用老的协议?
    121121121
        12
    121121121  
       2017-01-22 17:44:35 +08:00
    北京的有线宽带就是 docsis 3.0 上 50M 轻松
    sudo1453
        13
    sudo1453  
       2017-01-22 18:26:28 +08:00 via Android
    有些运营商虽然上了 3.x ,但用了不厂商同的设备,做证书什么的非常混乱,所以索性就没做 BPI

    顺便说一句, docsis 就是玩 dhcp , snmp 和 vlan 的游戏

    如果 modem 可以成功 online ,可以试试发送一个 vendor class 为 docsis3.0:的 dhcp 请求,有很大几率进入猫网(准确来说应该是猫的专属 vlan),这里面很多机子开放 80/22/23/8080 之类的端口,而且口令几乎都是默认的(有些可以在运营商下发的配置文件中找到);然后可以记下这些机子的 mac ,序列号,如果开放 22/23 甚至可以拿到 bpi 证书。

    稍微看看下发配置文件内的 snmp 组和来源 ip 段,如果条件允许,用 snmp 可以轻轻松松轮循一个段
    redsonic
        14
    redsonic  
       2017-01-22 18:58:42 +08:00
    目测要拆机,上 jtag ....... 和光猫的玩法一样。 不过一般这种盒子都有外置串口(东方有线的就有),能直接打通这个串口 玩的门槛会降低不少。
    liyvhg
        15
    liyvhg  
       2017-01-22 18:59:43 +08:00 via Android   ❤️ 1
    作为一个给广电做过 cable modem 的人看不下去了。
    1. cable modem 局端设备 cmts 一般是基于 Mac 地址认证 cable modem ,只有在白名单(开户)内的设备才能上线,否则协商过程中直接拒绝上线(在楼主的第 2 步和第 3 步之间)
    2. 确实也有像楼主说的部分运营商不做 Mac 地址认证,因为要沿用其他的网管计费系统,这种一般用 PPPoE 做计费认证,不通过 PPPoE 的设备取决于具体 cmts 的 ACL ,一般是访问不了任何地址的(包括 cm 内网)。
    3. 国内目前最低用到 docsis2.0 协议, docsis2.0 同样支持 bpi 认证,证书的 cn 字段是设备的 Mac 地址,设备和证书都分为欧标和美标,欧美的 docsis 控制了设备的唯二两个根证书,所有厂商的设备证书都要向他们买。买来之后设备的证书链是设备提供商生产的时候直接写入 cable modem 里面,普通的 SNMP 节点是读不出(私钥)来的。
    4. 华数、天威、歌华、其他几乎各个省市的 cable 运营商(广电)都有我们的设备在出货,漏洞是有一些,但是不会有这么大范围的
    5. cable modem 里面也是有防火墙的,防火墙的配置一般根据配置文件里面写的来处理,源地址、目的地址、协议号、源端口号、目的端口号、数据包的任何字段和特征都可以检测并做相应处理。能精确到给每一个 cable modem 的 Mac 地址分配一个不同的配置文件。
    liyvhg
        16
    liyvhg  
       2017-01-22 19:09:31 +08:00 via Android
    话说楼主这个 docsis 的基础知识自学得非常不错,不知道有没有兴趣从事这方面的具体工作,坐标深圳~急需
    windfarer
        17
    windfarer  
       2017-01-22 19:30:59 +08:00 via Android   ❤️ 3
    大新闻帖硬生生被歪成了挖人帖↑
    JackyBao
        18
    JackyBao  
    OP
       2017-01-22 21:18:05 +08:00 via Android
    @liyvhg 我就说一点, mac 地址是可以伪造的。
    然后局端发回的配置文件,谁规定 cable modem 就一定应用你的配置文件呢?

    具体我后面会讲,请听我慢慢分析。
    legendt
        19
    legendt  
       2017-01-22 21:19:09 +08:00
    听说过 Forceware 吗?
    cquzc
        20
    cquzc  
       2017-01-22 21:19:36 +08:00 via iPhone
    我就关心深圳天威能用不
    liyvhg
        21
    liyvhg  
       2017-01-22 22:47:48 +08:00 via Android
    @JackyBao Mac 地址理论上是可以修改,前提是你得知道 SNMP 节点和 SNMP 帐号密码,或者物理串口密码,这个每个设备商都可能不一样而且不公开。
    配置文件不解析或者错误解析,理论上也是可以的,问题还是在 Mac 地址上。
    所以你得找到同时满足以下:
    1. 一个单纯用 Mac 地址验证
    2. 没启用 bpi
    3. 正好找到了能修改 Mac 地址的设备
    4. 你正好能生成一个自定义固件以 bypass 一部分配置文件的设备
    的环境
    就触发了这个漏洞。
    JackyBao
        22
    JackyBao  
    OP
       2017-01-22 23:17:30 +08:00 via Android
    酒足饭饱,回来看到有专家进来了,挺好的。
    @liyvhg 不过专家,你把问题想得太复杂了。

    依稀记得当年的东方有线,在 ngb 改造前就是只通过 mac 地址认证的。所以当年流行的第一代的蹭网方法就出来了,直接把已入网的 cable modem 的 flash 内容复制到另一台 cable modem 里。当然这是最笨拙的方法,用这种方法,蹭网的人更本不需要理解 docsis 协议。缺点也很明显,一个终端下不能同时连 2 台 mac 相同的 cable modem ,而且你需要有一个已经入网的 cable modem 。当然同一个 mac 多次同时上线,会不会被局端发现呢?这个 lz 真的不知道,专家如果知道请不吝赐教。

    但是作为技术流, lz 是不屑这种方法的。
    ericls
        23
    ericls  
       2017-01-22 23:18:18 +08:00 via iPhone
    加拿大的 cable 都是这种
    JackyBao
        24
    JackyBao  
    OP
       2017-01-23 00:04:46 +08:00 via Android   ❤️ 1
    睡觉前,再写一段。

    刚才提到了第 1 代方法,于是就有人开始思考了,根据 docsis 的认证协议,不就是需要一个有效的 mac 地址吗?
    这时就有了第 1.1 代蹭网方法。上 jtag 线直接改 mac 不就可以了,有效的 mac 地址我找个 snmp 的软件,扫一下内网在线的 cable modem 不就知道了。

    就这样,带机入网,不对,是带机蹭网 1.1 代就轻松的实现了。

    当然, 1.1 代也是有缺点的,就是网速,你蹭到的 mac 订得是什么套餐,你就只能用什么套餐。

    好了,睡觉,明天继续开讲 2.0 版。欢迎感兴趣的 V 友收藏和参与讨论。
    ovear
        25
    ovear  
       2017-01-23 00:08:07 +08:00
    @JackyBao 然后就修改下发配置文件就可以获得各种速度了
    aprilRao
        26
    aprilRao  
       2017-01-23 00:11:34 +08:00
    哈哈哈,看见国内有这么多人关注 docsis 事业,很是开心啊!
    @JackyBao 作为一个专业做 CM 近 4 年,不算专家,也不算大牛,只是对 docsis 和 cm-cmts 整个系统,以及国内广电及各大运营商的配置有所了解的小菜鸟,我可以很明确的告诉你,同一个 mac 地址的 CM 同时会在线,两台设备都没法正常使用,两台 CM 会重复上线。
    aprilRao
        27
    aprilRao  
       2017-01-23 00:16:10 +08:00
    @ovear 原理上是可以通过修改下发的配置文件从而修改里面的限速和 qos ,以及 max cpe 等各种限制,以及关闭 bpi 。但是这个配置文件是经过 bpi 加密的,据我所知,应该没有办法可以破解或者是修改。倒是可以通过 snmp 找到相应的节点去设置,也正如 @liyvhg 所说,存在这那些限制。
    JackyBao
        28
    JackyBao  
    OP
       2017-01-23 00:21:14 +08:00 via Android
    @aprilRao 但是如果 2 台 mac 相同的 cm 是挂在 2 个不同的 cmts 下呢?我的经验是可以同时上网的,原理应该类似同一个交换机下不能有 2 个 mac 相同的设备。
    JackyBao
        29
    JackyBao  
    OP
       2017-01-23 00:23:48 +08:00 via Android
    @aprilRao 在我研究 docsis 的那个年代, bpi 尚未普及,配置文件都是明文传输的。所以 bug 就这么来了。
    ovear
        30
    ovear  
       2017-01-23 00:27:44 +08:00
    @aprilRao 在关闭 bpi 的情况下,这个配置文件是可以直接修改的。证书在这个系统里面更像是一个通讯鉴权的存在,至于本机如何解析核操作并没有做规定。这也是目前到 3.0 都存在的缺陷

    再说说 BPI 的问题, BPI 这个其实是个伪命题,只是增加破解难度而已。只要是加密,那么对于本地的 modem 一定是非加密的,换一句话说就是移动可以解密。所以 BPI 的证书是可以提取的,所以所谓的加密配置文件是可以解密的,自然可以修改上下行速率。至于提取 BPI 证书那就太简单了,从刷第三方系统到 FLASH 直接读固定区域,太多方法了
    ETiV
        31
    ETiV  
       2017-01-23 00:33:55 +08:00 via iPhone
    “去睡觉”什么的从来都是假的
    ovear
        32
    ovear  
       2017-01-23 00:37:24 +08:00
    作为小白,再来说下接下来可能的剧情发展

    首先,作为数字电视,其实跟互联网还不一样。数字电视大多都是单方面的下发,或者说广播。所以在非智能盒子年代,如果你家没有开通有线宽频,那么双向数据通道,都不一定有开,自然别说什么蹭网了,上行通道都没可能。

    那么在这个年达,市面上大部分的传统渠道,都被互联网的盒子打击,那么作为传统厂商,自然也要跟风了,所以才有双向数据通道开放。那么说到这,聪明的观众一定想到了电信的 IPTV ,没错,原理是接近的。这个所以得智能盒子内部也有一个 cable modem ,恩恩接下来大家都看看有猜到,很简单,已经开通双向数据通道,局域网形成

    那么这时候就要看有没有广域网访问权限了,有的话,直接下载配置文件克隆 mac ,免费上网
    没有的话,扫描内网,拿到内网的 mac 啊, snmp 服务器,配置下发服务器啥的,渗透就行。或者找到提供方暴露的代理,穿透出去,免费上网

    还有一种可能,所谓的免费 wifi 覆盖,这个就太简单了,直接 bypass portal 验证,免费上网

    作为一个小白,暂时就想到这些方法
    ovear
        33
    ovear  
       2017-01-23 00:40:22 +08:00
    @ovear 呃 应该叫什么高清互动机顶盒,带点播回播啥的,只要可以用这些功能,双向通道就是开了的
    JackyBao
        34
    JackyBao  
    OP
       2017-01-23 00:44:24 +08:00 via Android
    @ovear 看来你才是真正的砖家啊!

    在那个 cm 只有下行没有上行的年代,我们是通过外挂一个走电话线的 modem 解决上行问题的。

    我的剧情其实还是很有趣的,明天我会继续写,其中有些当年一直不解之谜,还请不吝赐教,感谢!
    aprilRao
        35
    aprilRao  
       2017-01-23 00:56:25 +08:00   ❤️ 1
    严格意义上来说,楼主所说的情况发生的前提是:
    1.他复制的 CM 的 mac 地址和他的 CM 不是工作在一个 CMTS 下,只要是在一个 CMTS 下,必然会出现两台 CM 重复上下线的问题。因为 CM 无法正常 Online , CM 的 RF 接口会出现 IP 冲突。
    2.如果需要修改下发的配置文件,必须在 1 的基础上,恰好没有启用所谓的 docsis2.0 中的 baseline privacy 的功能。我承认的一点是,国内广电在运营 docsis2.0 的 CM 时大部分情况下是不启用这个功能的。这里说的 baseline privacy 和 docsis3.0 中的 BPI+是不一样的。详情请见: https://apps.cablelabs.com/specification/?query=bpi&category=DOCSIS&subcat=&doctype=&content=true&archives=false&currentPage=1
    至于修改下发的配置文件,请楼主提示。若通过其他的方法将自己准备的配置文件写入 CM 中,建议参考这系列文档的附录 C : CM-SP-MULPIv3.0-I21-130404.pdf 。当然我这份不是最新的,最新的可以在 cablelabs 官网找到。
    3.楼主说的, docsis2.0 的 CM 接上路由器,即使没有开通上网业务也能够蹭网。我觉得唯一的可能是运营商运营上的问题,没有在配置文件中正确限制 max cpe 这项参数。具体这项参数的作用见 CM-SP-MULPIv3.0-I21-130404.pdf 中 C1.1.7 。值得注意的是这句说明( The CM MUST interpret this value as an unsigned integer. The non-existence of this option, or the value 0, MUST be interpreted by the CM as the default value of 1.)
    4.有人提到通过“发送一个 vendor class 为 docsis3.0:的 dhcp 请求,有很大几率进入猫网(准确来说应该是猫的专属 vlan)”,需要说明的是这里你进入到的是 RF 网段,在这个网段内可以通过 snmp 获取到运用商的一些运营权限,但是稍微专业的运营商会在 CM 的配置文件中限制 RF 网段的 snmp 权限,比如,哪些网段对应用的 community string 以及每个 string 的可操作的接口,以及操作的权限等等。而且,据我所知, DHCP server 中可以配置 default deny 规则,也就是说,如果不是对应的厂商设备的 OUI 所发出的 option60 请求,是会被拒绝的。

    以上是我目前知道的,希望可以跟大家一起讨论,国内做这个的人太少了。
    Actrace
        36
    Actrace  
       2017-01-23 01:01:36 +08:00
    @JackyBao 外挂电话线的话,如何解决数据收发的源地址?
    aprilRao
        37
    aprilRao  
       2017-01-23 01:02:05 +08:00
    @ovear 确实是这样的,所谓的高清互动机顶盒如果有点播回看的功能,那么双向网络就是 OK 的,因为点播回看需要和前端的点播服务器进行通信。
    oojiayu
        38
    oojiayu  
       2017-01-23 01:56:41 +08:00 via iPhone
    这么凶残!你们居然可以不给 ISP 过路费实现免费上网!
    这是违法的!
    FreeDog
        39
    FreeDog  
       2017-01-23 07:50:36 +08:00
    对于某些非正规不严格的 ISP ,还有通过 DNS 隧道和 ping 隧道上网的,常见于校园内网
    liyvhg
        40
    liyvhg  
       2017-01-23 08:38:53 +08:00 via Android   ❤️ 1
    @JackyBao 我算不上专家,只是正好做过一点点相关的工作,相同 Mac 地址的 cable modem 在不同的 cmts 下理论上是都能正常上线的,不排除运营商网管系统专门对这种行为做检测和限制(目前看来几乎没有)。
    拿到一台能正常上网的 cable modem ,扫内网 Mac 、刷自定义固件这种方式肯定是可行的。
    docsis 的缺点在于,他们是欧美人设计的,过于信赖终端 cable modem 的“自觉性”了,很多功能和限制都纯在终端实现,一旦某个终端被攻破(刷自定义固件之类的),就能获得很大的权限。
    所以后来推出 bpi ,借助数字证书体系去做双向鉴权,缺陷还是有,它还是只验证了“终端数字证书”的合法性,还是没有解决终端本身是合法终端的问题。
    不仅仅是 docsis ,各个安全领域里面,基于伪造终端和复制鉴权信息的安全问题都是长期存在的,欢迎探讨
    skylancer
        41
    skylancer  
       2017-01-23 08:46:05 +08:00 via Android
    深圳早早已经是 3.0 了
    skylancer
        42
    skylancer  
       2017-01-23 09:00:33 +08:00 via Android
    之前有人完全不说如何改说的自己很牛逼一样,后来查了半天资料硬啃半天文档才知道细节,然而天威还有各种坑可以挖
    JackyBao
        43
    JackyBao  
    OP
       2017-01-23 09:05:46 +08:00
    @sudo1453 @liyvhg @aprilRao @ovear

    感谢各位业内人士的关注,看来你们才是大神。不过,故事我还是会继续写。写的不对的地方,欢迎指出。

    好了,昨天说到蹭网 1.0 版和 1.1 版。大家可能觉得挺无聊的,也没有什么技术含量。这点 LZ 也同意,但是这 2 种方法的优点也非常明显,就是准入门槛低。随便买根 jtag 线,找台电脑就能开面免费蹭网之路。

    今天继续开讲 2.0 版, 2.0 版的内容技术行量会高很多。开讲 2.0 版前首先要感谢 google 和 taobao ,万能的 google 什么都找得到,万能的 taobao 什么都买得到。

    之所以称其为 2.0 版,因为从 2.0 版开始,蹭网不再需要复制 cable modem ,不再需要修改 mac ,只需要在认证阶段修改配置文件。继续回到那个年代,那时国外最流行的 cable modem 当属摩托罗拉的 sb510X 系列,然而流到国内的洋垃圾还有 sb3100 和 sb4100 这种更早一代的 cable modem 。为什么要提到国外呢?因为官方固件是不能载入自定义的配置文件的,你需要一个开发者固件或者第三方固件,这种固件国内途径基本上是搞不到的。

    sb3100 ,这个应该算元老级的 cable modem 了,现在看来配置真是非常不堪。比如网口只有 10M 。但是可能就是因为年代久远,以及停产的缘故,网上竟然可以下载到可以自定义配置文件服务器和文件名的官方固件,也就是说这种固件在认证阶段会 override 局端在 DHCP 请求中返回的这两个重要信息!
    于是一切就变得非常简单了,直接 snmp 一下正常用户的配置文件名,让 cable modem 直接从 ISP 的 tftp 服务器加在这个配置文件就能免费蹭网了。文件名也很容易辨识,比如某 ISP 有这些配置文件提供下载。
    residential_2048_512_2_v1.0.cfg
    residential_2048_512_2_v1.1.cfg
    residential_2048_512_2_v2.0.cfg
    2048 就是下行 2M , 512 就是上行 512K , 1.0/1.1/2.0 就是对应你的 cable modem 的 docsis 版本。
    还有 unregister_128_64_1.cfg ,就是所有无效 MAC 地址拿到的配置文件,加载这个文件是无法上网的。
    然后扫配置文件的时候 LZ 还发现了一个 test.cfg 文件,这个文件打开后可以发现下行有 4M ,上行多少不记得了,加载后也能正常上网。估计是运维测试用的吧?因为当时此 ISP 并没有提供 4M 的套餐。

    不要以为故事就这么结束了,后面的内容更精彩。因为 sb3100 这种老掉牙的 cable modem ,以及流出版固件提供的这些功能,只是提供了一个很基础的设置。

    有活要干了,后面的争取下午再写一些。还是那句想听故事的欢迎收藏。
    aprilRao
        44
    aprilRao  
       2017-01-23 09:07:42 +08:00
    @skylancer 哈哈,深圳都是天威的市场,而天威又是国内 DOCSIS 推广的主干力量,他们用的技术和设备的客制化都是比较接近欧美水平的。不过,国内和海外比客制化的东西又很多,海外的 CM 基本上来说都是按照规范来的。
    JackyBao
        45
    JackyBao  
    OP
       2017-01-23 10:25:06 +08:00
    忙好了,现在继续写。

    刚在说道那时最流行的 cable modem 其实还是 moto 的 sb510X 系列,于是也就不奇怪了,国外自然有牛人开发了个中第三方固件。功能上对自定义配置文件做了进一步强化,其实 LZ 觉得 DOCSIS 这种完全依赖用户端配置文件的认证方式,如之前 @liyvhg 所说的,真的 Too young, too simple, sometimes naive~

    LZ 记得当时 sb510X 的第三方固件大概分 3 个流派。

    TCNiSO's SIGMA-X2
    这个应该是最早的第三方 CM 固件, sb3100,sb4100,sb5100 的固件这个团队都做过,但是这个固件后来开始走收费路线了。

    SB5100 MoD v1.0.4 Beta
    这个固件是在上面的固件收费后不久推出了,感觉作者应该是不满上面固件的收费行为,所以自己开发了一套新的固件。但是这个固件还是需要使用 TCNiSO 的 bootloader 进行引导。

    Haxorware 1.1 rev39
    这个固件应该是稍微晚一些时间才被发布出来的,号称 DOCSIS 2.0 bpi 证书等特性都能完美支持。

    简单的讲,以上固件除了可以 override 局端发回的配置文件信息,还可以把一个配置文件上传到 cm 的 falsh 里,每次正常认证的时候,到了 tftp 配置文件那步,忽略收到的配置文件,直接从 flash 内部加载。以及修改各种 cm 里的 snmp 信息,以欺骗局端检查,可以把自己完美的模拟成任何厂商的 cm 。并且在认证完成以后可以勾选自动释放 cm 自己的 ip 地址,这样 ISP 完全就查不到你这个 cm 在线。

    所以 LZ 其实当年一直有一个疑问,这种认证完自动释放 cm 的 ip 的做法,真的足够安全,和具有足够的隐藏性吗?
    不知道几位大神怎么看? @sudo1453 @liyvhg @aprilRao @ovear
    JackyBao
        46
    JackyBao  
    OP
       2017-01-23 10:38:53 +08:00
    LZ 手上现在已经没有这些 cm 了,所以网上找了一张 SB5100 MoD v1.0.4 Beta 的截图,这个页面就是 LZ 上面提到如何加载自定义的配置文件。

    http://i47.tinypic.com/2z727aq.jpg
    skylancer
        47
    skylancer  
       2017-01-23 12:32:13 +08:00
    @JackyBao 我去这还是 Vista 啊.. 好怀念
    Jasmine2016
        48
    Jasmine2016  
       2017-01-23 13:46:13 +08:00
    @skylancer 我怎么感觉那是 XP 改的主题... Firefox 的字体都是 Tahoma 的。
    skylancer
        49
    skylancer  
       2017-01-23 14:19:28 +08:00
    @Jasmine2016 我没记错的话 FF 好像那时默认就 Tahoma ,并没有跟系统字体设置
    Jasmine2016
        50
    Jasmine2016  
       2017-01-23 16:10:13 +08:00
    @skylancer 如果我没猜错的话,这个是字体是 XP 主题限制的,那个主题我以前用过,好像叫「 Vista Black 」。
    JackyBao
        51
    JackyBao  
    OP
       2017-01-23 16:16:54 +08:00
    @skylancer
    @Jasmine2016

    2 位,不要跑题可以吗?
    sobigfish
        52
    sobigfish  
       2017-01-23 16:37:48 +08:00
    我还以为是设备内置了授权文件呢,就算你非授权连上了,但它这个有线电视的线路会不会有连接服务器的白名单,只有特定视频网站能访问
    skylancer
        53
    skylancer  
       2017-01-23 17:41:04 +08:00
    @JackyBao 抱歉抱歉 哈哈
    snsd
        54
    snsd  
       2017-01-23 23:52:56 +08:00 via iPhone
    @JackyBao
    @liyvhg

    广电不是用的 QAM 调制吗?
    JackyBao
        55
    JackyBao  
    OP
       2017-01-24 10:18:56 +08:00
    @snsd QAM 是物理层的概念, DOCSIS 我也不清楚是哪一层,可能是上面某层的协议吧。
    julyclyde
        56
    julyclyde  
       2017-01-24 12:37:02 +08:00
    @JackyBao 这协议看着跟普天润汇以前给河南 adsl 用的那套。后来也是改成 pppoe 拉倒
    aprilRao
        57
    aprilRao  
       2017-01-24 13:43:18 +08:00
    哈哈哈,过年比较忙,才看见。
    @JackyBao 原来你说的所谓的忽略下发的配置是通过第三方固件来实现的,这也是要看主芯片的方案。如果说是博通 3.0 系列的芯片,存在 PID 这个参数,用来防止刷第三方固件,只有 bootloader 中的 PID 和 image 中的应用程序的 PID 匹配时才能升级。当然了,如果用 jtag 整个烧写 flash 那 PID 这个参数也就没有意义了。
    你说的 CM 在完成上线认证过程后自动释放 IP 这个动作是否存在问题,我只知道这样 CMTS 上确实是无法查看到这台设备的 mac 地址,但是此时数据的双向是否正常还有待考虑,也许你说到的第三方固件中有对这个问题进行处理。
    并且,我理解的你说的从 flash 中加载配置文件参数这个动作更可能是在代码中直接更改了相关配置的默认值而已。也有可能第三方固件的开发者规划了 nonvol 中的一段内容用来存取所谓的自定义的配置文件,但是这样的工作量会稍微大一些。
    JackyBao
        58
    JackyBao  
    OP
       2017-01-24 14:02:15 +08:00
    @aprilRao 哈哈,我是等过年的节奏了。

    我上面提到的几款固件都是自带 bootloader 的,而且如你所说都是用 jtag 直接写的,所以也没遇到过你说的问题。

    认证后 CM 释放 IP ,这个我试过,完全没问题。我理解的是因为认证完成后, CM 就是个透明网桥,类似交换机,所以它有没有 IP ,应该不影响用户上网。

    这几款第三方固件确实可以把一个配置文件存到 nonvol 里,然后在认证阶段调用。并不是只是修改几个默认值。建议你试试最后那款 Haxorware ,据说对 bpi 证书支持也很好,我现在没条件试了。他的官网在这里: http://www.haxorware.com/
    sudo1453
        59
    sudo1453  
       2017-01-24 19:28:21 +08:00
    请各位业内人士见谅,本人只是苦逼的高三狗一枚,一年前粗略玩了下这边的垃圾广电运营商,得出了一些比较 low 的分析,没有见过其它地方的,说的可能太片面了,实在是不好意思。
    我这边的运营商 CMTS 和猫都在同一个段里,运营商有个 SNMP 数据汇总平台,每 5 分钟都去获取 CMTS 和 CM 的信息,运营商都懒得分 community 和对应权限了,整个 RF 段都允许 public 访问,所以获取这些信息十分轻松

    对于运营商在 DHCP 上的限制问题,目前大多数 CM 都是 linux 系统的,可以交叉编译一个 tcpdump 去抓猫的 dhcp 包,或者在猫上线之前就用 brctl 把用户段和运营商的 RF 段桥接起来再用 wireshark ,…… 不管怎样,最后肯定可以模拟出一个一模一样的、有“入网许可”( RF 网段)的 DHCP 包出来吧

    对于防止蹭网的问题,我这边的运营商在配置文件上把 MAX CPE 设置为 1 ,上下行速率限制为 10000 bps ,还有个什么 access 之类的设置成 0 ;运营商网络那边,以前是 DNAT 所有请求到一个要求续费的页面,现在是直接不响应用户的 DHCP 请求

    我目前还有几个疑问,想请教各路大神一下:
    0 、 CM 认证完成后把用户侧和运营商一侧桥接起来,这个时候我的网关是 CMTS ,但可以只用 1 跳到达 192.168.100.1 ( CM 的 lan 侧 ip ),这个是怎么做到的?
    1 、两只 mac 和序列号都相同的、在同一 CMTS 下的 CM 是如何检测 ip 冲突的?
    2 、 CM 能否 Online 由什么决定?是不是 RF 段里没办法联系上 DHCP/TFTP 服务器就一直不能 online 呢?
    3 、目前光纤普及得很快,像电视线这种铜缆和 DOCSIS 这类协议在面对入户千兆网络的时候会不会因速度 /延时 /汇聚噪声等问题而被逐渐淘汰?

    PS1 :用德仪 /Intel puma 方案( TNETC48x0/ DNCE25x0 )的 DOCSIS 3.0 CM 有 forceware 可刷,选项还算比较丰富

    ![]( http://p1.bqimg.com/567571/cdd0e4168c6434a1.png)

    PS2 : Wikipedia 上面搜了下, DOCSIS 算是物理层+数据链路层的, QAM 好像只是 DOCSIS 物理层中的一种编码方式

    ![]( http://p1.bpimg.com/567571/3d239885ade6b6a4.png)
    jedihy
        60
    jedihy  
       2017-01-26 03:50:26 +08:00
    为什么广电的 cable 是有上行链路的?
    JackyBao
        61
    JackyBao  
    OP
       2017-01-26 09:54:27 +08:00
    @jedihy 十几年前做的双向改造,然后就有了。
    jedihy
        62
    jedihy  
       2017-01-26 10:37:39 +08:00
    @JackyBao 所以是半双工的?
    JackyBao
        63
    JackyBao  
    OP
       2017-01-26 10:48:53 +08:00
    @jedihy 全双工的,上行下行走得不同频率。好像下行 573Mhz ,上行 36Mhz 。所以上行的理论带宽比下行小很多。
    JackyBao
        64
    JackyBao  
    OP
       2017-01-26 10:54:48 +08:00
    @sudo1453
    0 、 CM 认证完成后把用户侧和运营商一侧桥接起来,这个时候我的网关是 CMTS ,但可以只用 1 跳到达 192.168.100.1 ( CM 的 lan 侧 ip ),这个是怎么做到的?

    CM 这时工作为一个透明网桥,所以你可以直连。

    1 、两只 mac 和序列号都相同的、在同一 CMTS 下的 CM 是如何检测 ip 冲突的?

    类似于两个 MAC 相同的网卡,接在同一个交换机下,所以其实是 mac 相同造成的冲突。

    2 、 CM 能否 Online 由什么决定?是不是 RF 段里没办法联系上 DHCP/TFTP 服务器就一直不能 online 呢?

    没用 bpi 证书的情况下, Online 是配置文件决定的。无效的 CM 拿到的配置文件里面有防火墙规则,阻断了用户端连网。

    3 、目前光纤普及得很快,像电视线这种铜缆和 DOCSIS 这类协议在面对入户千兆网络的时候会不会因速度 /延时 /汇聚噪声等问题而被逐渐淘汰?

    我觉得会,带宽,稳定性肯定都不如光纤。
    jedihy
        65
    jedihy  
       2017-01-27 01:35:40 +08:00 via iPhone
    @JackyBao cable 上网我用着很不错, 200/50 的速度用起来很爽,一边下 pt 也不卡
    adfsadfssfd
        66
    adfsadfssfd  
       2017-01-30 07:18:48 +08:00
    DOCSIS CM 可以实现 QinQ 或者猫的几个口在不同的 VLAN 上, 每个 VLAN 有单独的 serviceflow 吗? 或者猫的一个口普通上网, 另一个口 L2VPN?
    max CPE 是通过限制 DHCP+ DHCP snooping/uRPF (用同一个网段其他 IP 也无法上网)实现的吗?
    可以介绍下 TR-069 管理的经验吗?
    猫在 bridging 模式 ACL 是怎么实现的 (source port, dst ip)?

    运营商开始部署 D3 之后感觉网络管理比几年前好了很多 猫的固件也去掉了很多默认开放的功能 (snmp/telnet/ssh)
    snsd
        67
    snsd  
       2017-02-11 21:18:46 +08:00 via iPhone
    @JackyBao

    广电的 QAM 还能套用网络七层协议?
    linxijun
        68
    linxijun  
       2017-04-08 10:04:13 +08:00 via iPad
    @jedihy 300/30 的路过,。。。。
    linxijun
        69
    linxijun  
       2017-04-08 10:04:31 +08:00 via iPad
    @jedihy pt 现在不好玩了。。。。
    linxijun
        70
    linxijun  
       2017-04-08 10:30:06 +08:00 via iPad
    @adfsadfssfd 原厂固件是去掉,但是刷了第三方的又复活了这些个被封了的端口
    linxijun
        71
    linxijun  
       2017-05-14 23:43:49 +08:00
    @aprilRao 求交流
    Remember
        72
    Remember  
       2019-01-24 23:30:24 +08:00
    可惜国内只有广电才会用这个
    zhengrt
        73
    zhengrt  
       2020-07-12 17:47:45 +08:00 via iPhone
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1123 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 23:09 · PVG 07:09 · LAX 15:09 · JFK 18:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.