W jaki sposób firmy telefoniczne mogą wykryć tethering (w tym hotspot Wi-Fi)

25

Operatorzy sieci komórkowych (także: firmy telefoniczne, firmy telekomunikacyjne, dostawcy) czasami oferują tanie pakiety danych, z których można korzystać tylko przez telefon. A przynajmniej tak mówią.

Jak mogą odróżnić użytkownika przeglądającego Internet za pomocą przeglądarki na swoim telefonie z Androidem od użytkownika przeglądającego na laptopie podłączonego do telefonu z Androidem?

Na początku 2012 roku byłem w Paryżu i korzystałem z pakietu danych mobilnych Orange z telefonem Nokia E51 (Symbian S60). Rzeczywiście, mogłem uzyskać dostęp do Internetu tylko za pomocą przeglądarki telefonu, a nie z laptopa podłączonego do telefonu. Teraz mam telefon z Androidem 2.3 i zastanawiam się nad subskrypcją podobnego pakietu danych w Hiszpanii (operator Más Móvil).

tethering  mobile-network 
feklee
źródło
3
Można to zrobić za pomocą deep packet inspection. Możesz walczyć z TOR, tunelami i VPN otoczonymi przez Stacheldraht.
ott--

Odpowiedzi:

30

To, jak wykrywają, że ktoś tethering urządzenia, nie jest czymś, o czym często chcą rozmawiać dostawcy sieci, z oczywistego powodu, że im więcej konsumentów wie o tym, jak to jest wykrywane, tym łatwiej jest im znaleźć sposób na ukrycie fakt, że robią to i unikają związanych z tym dodatkowych opłat (1) . Istnieją jednak pewne znane techniki, które ujawnią fakt, że obecnie tethering jest możliwy, jeśli dostawca usług korzysta z odpowiedniego narzędzia do sprawdzenia tych wskaźników:

Telefon zapyta sieć, czy tethering jest dozwolony

Pierwsza i najłatwiejsza metoda polega na tym, że niektóre telefony sprawdzają sieć, aby sprawdzić, czy bieżąca umowa umożliwia tethering, a następnie całkowicie wyłącz opcje tetheringu na urządzeniu w oprogramowaniu, jeśli nie. Zasadniczo dzieje się tak tylko wtedy, gdy używasz wersji systemu operacyjnego, która została dostosowana przez Twojego dostawcę, przykład 1 przykład 2 .

Twój telefon informuje sieć, że tethering

Mówi się także, że niektóre telefony mają zapisany w sieci drugi zestaw danych APN , gdy włączysz tethering, przełączają się one na używanie tego drugiego APN dla całego ruchu na uwięzi, podczas gdy normalny APN jest wykorzystywany do ruchu pochodzącego z telefonu. Nie znalazłem jednak żadnych konkretnych dowodów na to, poza tym, że ludzie znajdują dziwne APN i zastanawiają się, do czego służą (pamiętaj, że na odblokowanym telefonie kupionym poza umową może być przechowywanych setki lub tysiące APN, gotowe do używać w dowolnej sieci w jakimkolwiek kraju, ostateczny właściciel zdecyduje się z niej skorzystać).

Sprawdzanie pakietów sieciowych pod kątem ich TTL (czas życia)

Każdy pakiet sieciowy przemieszczający się w sieci TCP / IP , takiej jak Internet, ma wbudowany czas wygaśnięcia ( TTL ), więc w przypadku problemów z dotarciem pakietu do miejsca docelowego, zatrzyma go podróżując po sieci na zawsze zatykając wszystko.

Działa to tak, że pakiet zaczyna się od ustawionego na nim numeru TTL (powiedzmy 128), gdy opuszcza urządzenie wysyłające (telefon lub laptop), a następnie za każdym razem, gdy pakiet przechodzi przez dowolny router (taki jak twój domowy router szerokopasmowy lub router u usługodawcy internetowego lub firmy telefonicznej), który router odejmuje jeden od TTL (co w tym przykładzie zmniejszyłoby TTL do 127), następny router, przez który przejeżdża, z kolei ponownie obniży TTL, i tak on, jeśli TTL kiedykolwiek osiągnie zero, wówczas router jest w odrzuca pakiet i nie przesyła go ponownie.

Gdy telefon tethering działa jak router, więc gdy pakiet przechodzi z laptopa na uwięzi przez telefon i do sieci telefonicznej, telefon odejmie „1” od TTL, aby pokazać, że pakiet przeszedł przez swój pierwszy router . Sieci telefoniczne wiedzą, jakie są oczekiwane TTL od popularnych urządzeń (na przykład pakiety z iPhone'a zawsze zaczynają się od TTL 64), dzięki czemu mogą wykryć, kiedy są o jeden (lub całkowicie inne) niż się spodziewają.

Kontrola adresu MAC

Wszystkie urządzenia w sieci TCP / IP, takie jak Internet, mają unikalny identyfikator MAC ID w swoich interfejsach sieciowych. Składa się z dwóch połówek, jedna połowa identyfikuje producenta interfejsu, a druga połowa to unikalny identyfikator przypisany przez producenta (jak numer seryjny). Każdy wysłany pakiet sieciowy będzie „stemplowany” adresem MAC portu sieciowego urządzenia inicjującego. Adres MAC karty Wi-Fi laptopa będzie miał zupełnie innego producenta i kod seryjny niż adres MAC interfejsu 3G telefonu.

Odcisk palca stosu TCP / IP

Różne systemy operacyjne komputera (np. Android, iOS, Windows, Mac OSX, Linux itp.) Konfigurują stosy TCP / IP z różnymi wartościami domyślnymi i ustawieniami (np. Początkowy rozmiar pakietu, początkowy czas TTL, rozmiar okna ...). Kombinacja tych wartości może dać „odcisk palca”, którego można użyć do zidentyfikowania systemu operacyjnego działającego na urządzeniu źródłowym. Efektem ubocznym tego może być to, że jeśli używasz nietypowego systemu operacyjnego lub systemu operacyjnego podobnego do telefonu na innym urządzeniu, tethering może nie zostać wykryty .

Patrząc na docelowy adres IP / URL

Możesz się wiele nauczyć dzięki temu, z czym urządzenie regularnie się komunikuje.

Na przykład wiele systemów operacyjnych obecnie wykrywa Captive Portal Detection, kiedy po raz pierwszy łączy się z siecią Wi-Fi (taką jak połączenie z tetheringiem Wi-Fi), robią to, próbując połączyć się ze znanym serwerem internetowym przez Internet i sprawdzając, czy uzyskać odpowiedź, której oczekują. Jeśli oczekiwana odpowiedź nie zostanie odebrana, oznacza to, że połączenie Wi-Fi, z którego korzystasz, jest „portalem typu captive” i może być konieczne zalogowanie się lub zapłacenie za połączenie. Ponieważ systemy operacyjne Microsoft (takie jak Windows Vista i Windows 7 domyślnie sprawdzają za pomocą serwera Microsoft oraz inne systemy operacyjne, takie jak Android, MacOS itd., Wszystkie łączą się z serwerami firmy macierzystej w celu wykonania tych kontroli, można to wykorzystać jako dobry wskaźnik działania system zaraz po nawiązaniu pierwszego połączenia.

Ponadto, jeśli urządzenie regularnie kontaktuje się z serwerami Windows Update, bardzo prawdopodobne jest, że jest to komputer PC lub laptop z systemem Windows, podczas gdy jeśli regularnie sprawdza na serwerach aktualizacji Google na Androida, to prawdopodobnie jest to telefon. A jeśli widzą, że łączysz się z Apple App Store, ale IMEI urządzenia, w którym znajduje się Twoja karta SIM, wskazuje, że nie jest to urządzenie Apple, może łączysz iPada z telefonem z Androidem?

Bardziej zaawansowane systemy mogą przeglądać cały zakres danych, sprawdzając, z kim się komunikujesz (np. Czy łączysz się z serwerami API aplikacji Facebook, co jest bardziej prawdopodobne z telefonu, czy z serwerami internetowymi Facebooka, które są bardziej prawdopodobne z komputera) i dodaj cały zestaw tych wskaźników razem, aby utworzyć odcisk palca wskazujący, jakiego urządzenia prawdopodobnie będziesz używać. Niektóre z tych odcisków palców można wykryć, gdy pojawią się nowe typy urządzeń i usługi, na przykład istnieją doniesienia, że ​​tuż po wydaniu tabletów z wbudowanym 3G niektórzy właściciele tych w sieci AT&T otrzymali wiadomości e-mail z ostrzeżeniem, że tethering, gdy tak nie było, ponieważ odcisk palca tego nowego stylu urządzenia nie wyglądał jak typowy telefon.

(1) Oczywiście przed wypróbowaniem jakichkolwiek metod obejścia wykrywania tetheringu pamiętaj o sprawdzeniu umowy telefonicznej i zasad firmy tethering dotyczących tetheringu. Mogą mieć klauzule karne ukryte w umowie, Polityce dozwolonego użytku lub Polityce dopuszczalnego użytkowania dla osób, które próbują ominąć swoje ograniczenia i ograniczenia.

GAThrawn
źródło
1
Świetna odpowiedź! Skontaktowałem się również ponownie z Más Móvil i tym razem przedstawiciel obsługi klienta powiedział, że wszystkie taryfy i opcje mogą być używane z tetheringiem. Więc zarezerwowałem bardzo dobrą ofertę i tak, tethering z moim telefonem z Androidem 2.3 (przez USB) działa bez problemów. Być może następnym razem, gdy będę we Francji, spróbuję zagrać z TTL, aby sprawdzić, czy to pozwoli mi ominąć Orange.
feklee
5
dzięki za bardzo kompetentną i wnikliwą odpowiedź. Chcę jedynie sprzeciwić się sekcji inspekcji MAC. jeśli używasz telefonu jako routera (jak w przypadku tetheringu zewnętrznego połączenia internetowego), adresy MAC twoich klientów wcale nie są przesyłane do dostawcy, zgodnie z definicją routingu IP. są one zastępowane przez MAC telefonu, czego oczekuje operator.
Podejrzewam, że to właśnie dzieje się z moją komórką. Odkąd „uaktualniłem” do tetheringu 5.1 z tmo, nie działa. Nawet gdy używam https (co maskowałoby klienta użytkownika, tak jak to robił). Jak mogę sprawdzić, czy mój telefon ma problemy z usługodawcą?
Christian Bongiorno,
6
Uwaga dotycząca punktu adresu MAC: Tethering jest po prostu NAT (cóż, może być tak prosty). W związku z tym wewnętrznym mapowaniem (ip: port) <-> externa (ip: port) musi zarządzać urządzenie NAT, ale poza tym rzeczywisty ładunek IP jest jedyną potrzebną rzeczą. W rzeczywistości, jeśli jakoś zidentyfikujesz w interfejsie internetowym przez MAC urządzenia na uwięzi, nigdy nie będzie trasował. Nie wiem, w jaki sposób / dlaczego MAC urządzeń wewnętrznych może / powinien / powinien zostać ujawniony.
Christian Bongiorno,
Mam plan rodzinny z tetheringiem. Wyjęcie karty SIM z mojego iPada (który ma tethering) i włożenie jej do zrootowanego HTC pozwoliło na tethering. Jednak zapasowy android mówi, że nie mam tetheringu w moim planie. Czy istnieje sposób na obejście tego problemu przez użytkownika innego niż root?
Drew
5

W rzeczywistości dostawcy usług sieci komórkowej używają głównie głębokiej inspekcji pakietów z odciskiem palca URI do wykrywania tetheringu. Jest to jedyna metoda, którą można zastosować do operacji na dużą skalę. Mogą używać znanych witryn, np. Serwera aktualizacji Windows, aby wykryć, że jest to urządzenie inne niż telefon, które uzyskuje dostęp. Lub w przypadku protokołu HTTP zapoznaj się z agentem użytkownika przeglądarki internetowej, aby wykryć, że przeglądarka jest przeznaczona dla platformy innej niż telefon.

Powiedziawszy to, metody te mają pewne znaczące ograniczenia.

  • Przesunięcie czasowe od rozpoczęcia użytkowania do wykrycia może potrwać kilka minut
  • Wykrywanie można zneutralizować za pomocą szyfrowania użytkownika końcowego
  • Korzystanie ze wszystkich możliwych technik pobierania odcisków palców często powoduje wywoływanie fałszywych trafień

W rzeczywistości wykrywanie tetheringu jest działaniem równoważącym z perspektywy operatora. Zazwyczaj implementują tylko tyle, aby móc zablokować zwykłych użytkowników spoza geeka (którzy stanowią większość użytkowników mobilnych). Wdrożenie ściślejszego wykrywania w celu zablokowania użytkowników zaawansowanych technologicznie zazwyczaj nie jest warte wysiłku i może przynieść odwrót, generując zbyt wiele zdarzeń fałszywie dodatnich. Dopóki otrzymają zapłatę za wykorzystane dane, będą patrzeć w drugą stronę.

Raczej koncentrują swoje wysiłki na hakerach i blokują wyciek dochodów z powodu exploitów sieciowych.

Pan Mega Byte
źródło
2

Najprostszą metodą jest kontrola TTL. Jeśli przekierujesz połączenie z drugim urządzeniem (za pośrednictwem mobilnego hotspotu Wi-Fi lub w inny możliwy sposób), routery firmy telefonicznej zauważą, że niektóre wartości TTL różnią się od innych, gdy przechodzą przez nie pakiety. Ponieważ istnieją tabele oczekiwanych początkowych wartości TTL dostępnych dla wielu urządzeń (a dokładniej ich systemów operacyjnych), firma telefoniczna natychmiast zauważy, że coś jest nie tak, ponieważ mogą łatwo obliczyć „jak daleko” jest źródłem pakietu. NIE wymaga głębokiej kontroli pakietów, ponieważ wartości TTL są dostępne dla wszystkich, w każdym rodzaju pakietu IP, i faktycznie są MODYFIKOWANE przez routery (zmniejszane o 1 przy każdym przejściu), gdy pakiet jest przekazywany do miejsca docelowego. Obejście jest zatem dość proste.

xmp125a
źródło
Czy możesz połączyć niektóre źródła? BTW, +1 za przebadaną odpowiedź.
Tamoghna Chowdhury
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.