校园网认证原理。
校园网身份认证原理:校园网一般没有密码的,当连接校园网并且没有登录时,路由器其实已经分配给你了一个内网IP。既然有IP那就好玩了,只要想办法从内网跳到外网就可以免费上网了。
·当在没有登录校园网的情况下访问外网,比如百度,访问请求被发送到校园网路由器上,路由器发现这是个外网资源。同时校园网路由器发现内网IP还没有登录,就会强行重定向到登录界面。
·当在没有登录校园网的情况下访问内网,比如提到的教务管理系统,访问请求被发送到校园网路由器上,路由器发现这是个内网资源,管你有没有登录,直接接通就可以访问了。
所以学校弄的如人脸认证采集之类的活动,访问特定网站,即使没有认证也可以访问,因为学校默认放行了,但是换一个网站或者切换其他应用还是弹出认证。
其实当连接到某个需要Web认证的热点后(已连接WiFi但未验证),已经获得了一个内网的IP。此时如果访问某个HTTP网站,网关会对HTTP响应报文劫持并纂改302重定向给校园网登录认证界面,迫使校园网就行登录才能继续访问网站。如果不认证要么没网要么只能停留在认证页面。
其实网关都默认放行DHCP和DNS,比如DNS用到的端口是udp53,DHCP用到的端口是udp6768,67是服务器广播回应,端口用户报文应该过不去。
可以这样想象,在没有认证之前只能被关在一个房间里面,这个房间相当于内网,只有交钱了才有人给你买玩具给你玩,因为它是独家的,想玩只能找他,所以收的小费贵一些。但是房间关上一扇门的同时也开了一扇窗,可以托朋友帮你买玩具,然后给他一点路费意思一下就行了。
如果53端口是开放的,那么就可以在公网搞一台服务器,服务器就相当于在外面接应你的朋友,53端口就相当于窗口朋友通过窗口送玩具给你,就可以有玩具玩了。同理服务器通过开放端口传送数据就不用通过学校的认证页面,而是直接通过隧道连接服务了,借此来免费上网了,顺便还能防止网络审计。
再一次画了删除线的"免费"其实只是把钱花在服务器上了,这次免费上网的主要突破点就是UDP53。当然了,据一位朋友实践,UDP67也可以绕过Web认证,甚至是那些UDP53无法绕过的热点。当然TCP53也行,毕竟DNS也有TCP的。
当然这些前提都是学校有开放端口,就不如在的房间原本就没有窗子,玩具就不能托人买了。同理,没有开放端口服务器的数据也跑不进来,一切就没得玩了,就只能通过认证的方式上网了。