网络尖兵是什么,怎么用.

========http://applebug.qlsh.net/NetSniper/
NetSniper网络尖兵
宽带网络运营维护管理器
2002/12/03
　　NetSniper网络尖兵是上海上大雷克网络系统有限公司开发的网络接入检测及控制器。它可以自动检测出网络中私自架设的代理服务器系统或非法路由器，并对通过非法代理服务器的IP包以及流向非法路由器的IP包进行控制。通过这种控制，有效的避免了用户恶意偷逃上网费用的情况发生。同时NetSniper可以精确控制一个网络接口连接的用户计算机数量。NetSniper的出现，成功的解决了宽带社区、校园网中出现的费用流失问题。NetSniper也可应用于局端，解决各ISP拨号上网中产生的费用流失问题。
一、为什么要使用NetSniper
　　目前网络已经是我们学习办公不可缺少的工具，特别是宽带网络的使用日渐普及。然而，在运营商实际经营过程中，出现了这样一个问题：就是某些"技术高手"利用TCP/IP的一些特性，在自己的电脑上安装代理服务器或网络地址转换软件，使得多个住户可以利用同一包月帐号上网、企业办公，甚至私自架设网吧。在校园网中，上述情况已经非常普遍。在小区中，也开始出现并在迅速蔓延。最终将导致接入商投入的巨额基础建设费用难以正常回收。NetSniper的设计目的，就是要简单解决这一问题。
　　另外，网络收费规范化的呼声越来越高，多家电信运营商与ISP都有规范网络收费的计划，有些运营商已经迈出了规范网络使用收费的第一步。在商家规范收费与服务的同时，需要有一个有力的机制予以配合。现在已成泛滥趋势的单一帐号多用户使用问题必须加以引导，成为运营商开辟新阵地的用户基础。为此，我公司生产的NetSniper增加了精确控制单一网络接口上用户计算机数量的功能，为ISP以及宽带运营商提供了新服务基础，同时也为互联网用户提供了新的上网接入方式选择。同时，针对具有不同数量用户的广大运营商，我们拥有不同配置的全系列NetSniper供客户选择。
二、NetSniper的应用范围
　　NetSniper适用于各种网络环境，如：有线电视网络（HFC）、以太网络、xDSL（ADSL、VDSL、HDSL、SDSL等等）、电话拨号网络等等（PSTN）。
　　NetSniper有效地阻止了下列几种盗用宽带资源的方式：
　　（1）私拉专线；（2）共享上网；（3）盗用MAC地址上网；（4）Modem回拨上网。
　　同时NetSniper可以从技术上有效地发现城域网络中存在的"黑网吧"，帮助执法机构简便、快速、有效地定位和打击"黑网吧"。
三、NetSniper系列设备
　　NetSniper网络尖兵的整体系统包括三部分：网络尖兵控制器、网络配置管理器和日志管理器。
　　针对不同环境的实际需要，NetSniper网络尖兵硬件设备--网络尖兵控制器被设计成为I和II两种型号。NetSniper-I和NetSniperII使用相同的网络配置管理器软件和日志管理器软件。网络配置管理器用于配置和管理网络尖兵控制器的相关参数。日志管理器用于接收和处理网络尖兵控制器发送的日志信息。
　　NetSniper-I适用于检测和控制私拉专线。NetSniper-II适用于检测和控制共享上网和盗用MAC地址上网。
四、NetSniper的外观及相关参数
五、利用NetSniper精确控制单一网络接口用户数量
　　现有的网络运营商在提供接入服务的时候，通常以最初登记的计算机数量为网络费用计算标准或给定一定带宽的专线收取包月费用。至于用户以后增加多少台计算机则不闻不问，尤其是拨号网络中（ISDN，ADSL）更加没有相应手段予以控制，因此造成很大的费用流

针对网络运营商细化管理的需求，我公司在NetSniper中特意加入了精确控制同一网络接口上用户数量的功能。
　　由上图我们可以看出，NetSniper可以方便地根据用户IP地址或MAC地址控制同一网口用户数量，用户数量控制可以分八级，包括单一用户和无限用户的缺省设置，一共十级。用户数量按照按自己的意愿定义每一级用户可以管理计算机的数量，准确，灵活，是运营商增加接入服务方式的强大基础。
六、偷逃上网费用的几种方式及对策：
1、通过接入其他专线进行"地下运营"
2、共享上网（1）利用一个网络端口串接若干计算机的情况
3、共享上网（2）利用一个网络端口串接其他已连线的用户
4、非法用户盗用合法用户的MAC地址上网
5、利用拨号网络接入一个合法网络端口串接非法计算机（Modem回拨上网）
1、通过接入其他专线进行"地下运营"
　　目前所知道的第一种非法运营情况：如上图中的F用户合法申请一根ADSL或其他线路然后在自己的计算机中安装代理服务软件或者连接一个路由器，就可以纠集若干住户分摊该专线的租费，并通过该出口共享带宽访问外网，而且他们同时还可以享受小区内部网络所固有的所有功能。
　　同时也不排除这种可能，就是某些小区考虑到费用等因素，私下与第二家接入商洽谈，为同一个小区架设两个出口，通过不同的接入商提供接入服务。此时，第一个接入商的高额布线费用无法收回。
　　对于中的情况，我们的设备可以及时侦测出所有非法用户，并及时截断这些用户的非法IP包，同时通知系统管理员予以处理。
2、共享上网（1）利用一个网络端口串接若干计算机的情况
　　非法运营情况之二：如上图中的F用户作为运营商的合法包月用户，上网服务开通以后，在自己的计算机中安装代理服务软件或者安装路由器，这样就可以随时纠集若干住户分摊包月费用，甚至私设网吧。
　　对于上图中的情况，我们的网络监视模块可以及时发现这种使用者，并且通知网络管理员该用户的资料，以便网络管理员酌情处理。比如临时关闭此帐号，责令改正后重新开放等等。
3、共享上网（2）利用一个网络端口串接其他已连线的用户
　　非法运营情况之三：上图中的F用户作为运营商的合法用户，申请上网服务以后，在自己的计算机中安装代理服务软件或者连接上路由器，那么其余所有在该网段内的计算机都可以通过这台计算机上网。
　　在这种情况下，运营商投入资金架设的网络，反而成为非法用户偷逃费用的工具。
　　对于上图的情况，NetSniper可以及时侦测出所有非法用户，并及时截断这些用户的非法IP包，同时通知系统管理员予以处理。
4、非法用户盗用合法用户的MAC地址上网
　　目前有许多运营商是通过用户计算机的MAC地址来限制用户对网络的访问，由此产生了偷逃上网费用情况之四：用户F先申请开户，再报停或欠费停机，随后盗用合法用户A的MAC地址上网。通过这种手段，用户F不用付任何费用就可以上网了。
　　在这种情况下，运营商不但无法收取用户F的上网费用，而且由于合法用户A的MAC地址被盗用，引起A无法正常上网，导致运营商提供的服务质量下降。
　　对于上图中的情况，NetSniper可以及时检测出所有的利用不正当手段上网用户，一旦查获非法IP包立刻将其截断，同时通知系统管理员予以处理。

5、利用拨号网络接入一个合法网络端口串接非法计算机（Modem回拨上网）
　　这是在企业网络中常见的情况：如上图中的F用户作为企业的合法用户，上网服务开通以后，有操作人员在F计算机中安装代理服务软件、NAT软件或者安装路由器软件，再安装Modem等远程接入设备。非法用户在远端通过Modem等接入设备与网络相连接。
　　非法用户通过回拨的行为，不但浪费了企业的上网费用，而且还大量浪费企业的电话费。对于上图中的情况，NetSniper网络尖兵可以及时发现这种使用者，并且通知网络管理员该用户的资料，以便网络管理员酌情处理。比如临时关闭此计算机的使用权利，责令改正后重新开放等等。
七、NetSniper的使用
1、用NetSniper-I阻止"私拉专线"
　　在中上图中可以看到，我们的设备同时监听多至8台HUB。产品安装简便，在HUB上只需要一个网口即可。作为一种检测设备，NetSniper以数据接收为主，基本不发送数据，所以对带宽几乎是零占用，对传输效率没有任何影响。
　　此时，
NetSniper监控非法出口上网的用户并拦截所有非法用户的IP包，使其处于"离线"状态（由于申请另外专线的用户，其申请和使用行为是合法的，所以我们不对该用户采取任何监视与干扰措施，我们的工作目的是阻止非法的运营行为）。
　　完成以上捕捉的同时，我们的设备并不对这些用户应有的权利造成任何伤害，不降低网络的传输效率，不侵害用户的隐私权益，甚至小区内用户内部的局域网信息文件传递也分辨的清楚明白，实现只对非法使用现象的精确打击。
2、用NetSniper-II控制共享上网、盗用MAC地址上网和Modem回拨上网
　　使用NetSniper-II可以有效的控制共享上网、盗用MAC地址上网和Modem回拨上网的情况。
　　上图中，NetSniper-II可以对网络内部各用户进行检测，一旦发生某个用户安装代理服务器软件，其他用户通过该用户的接口上网偷逃网费的情况，或发现盗用MAC地址上网及通过Modem回拨上网的情况，NetSniper-II即可定位这些用户，并且采取通知系统管理员或自动封堵非法用户等措施。
3、NetSniper-II检测网络中存在的黑网吧
　　网吧都是通过代理服务器或NAT转换器上网，因此可以通过检测网络中存在的代理服务器和NAT转换器来确定网吧的存在与位置。
NetSniper可以有效地检测出网络中存在的代理服务器或NAT转换器，以及它们所管理的计算机数量。
（1）"NetSniper网络尖兵"是一台每天连续24小时工作的智能计算机设备，可以有效地大幅度提高管理效率，降低管理成本。
（2）弥补目前"群众举报->执法机构确认->执法机构打击"这种模式的不足，"NetSniper网络尖兵"可以帮助执法机构更加全面、准确地打击"黑网吧"。
（3）使用"NetSniper网络尖兵"可以发挥技术的优势，将管理工作做在平时，避免现有的突击式管理：一有悲剧发生，就集中采取暴风骤雨式的检查整顿，高潮过去后又常常风平浪静，管理和经营又回到各自原来的轨道上，执法与非法经营彼此相安无事。
（4）"NetSniper网络尖兵"使用起来非常方便，和运营商现有的设备配合极其简单：不需要改变现有的网络结构、不影响网络的性能、与用户无关、集中维护、控制模式灵活。
4、NetSniper-II在局端的运用
　　NetSniper-II也可以作为局端设备，用于xDSL（ADSL/VDSL）、PSTN（电话拨号网络）、HFC（有线电视网络）等。此时，NetSniper-II能够有效的防止控制共享上网、盗用MAC地

址上网和Modem回拨上网的情况发生。下面两个图例指出了如何将NetSniper-II用于局端。
　　在这三个图中，局端使用了NetSniper-II，如同在以太网络的环境下一样，NetSniper-II可以对网络内部各用户进行检测，一旦发生某个用户安装代理服务器软件，其他用户通过该用户的接口上网偷逃网费的情况，或发现盗用MAC地址上网及通过Modem回拨上网的情况，NetSniper-II即可定位这些用户，并且采取通知系统管理员或自动封堵非法用户等措施。
八、与现有方案比较
　　正是种种偷逃网费情况的出现，运营商投入大量财力物力铺设的网络连接设备被非法使用，无法按时回收投资。从长远的观点来看，这种现象也阻碍了运营商同大量潜在用户的密切交流，无力推进更新的增值服务。从而影响了宽带行业的发展。
　　根据市场调查，目前类似的这三种情况在宽带住宅区内已有抬头的趋势，尤其在校园网内更是如火如荼，让网管人员束手无策，运营商头痛不已。通常说来，校园网是Internet的实验应用基地，那里的任何"新发现"很快就会在整个互联网用户中普及。
　　然而，目前市场上尚未出现任何简单有效的针对性的解决办法。所以，有的运营商为防止这种可怕现象的蔓延，被迫采取划分VLAN的方式把所有用户分隔开来，使其不能相互通信。
　　我们只要了解一下VLAN技术，便知道其中运营商不得已的苦衷。
　　VLAN，又称虚拟局域网，是由位于不同物理局域网段的设备组成。虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同一网段中一样，由此得名虚拟局域网。
因此，运营商被迫采用VLAN的根本原因只是利用VLAN的网间隔离特征。
　　正是这个原因，VLAN技术的设计目的应用根本就不是针对目前所发现的非法用户的私自应用现象。用VLAN方式来解决这种问题，就象利用一副药的副疗效来治疗病症，得不偿失还将有其他无法估量的副作用。
我们仅仅分析几种弊端：
　　1、VLAN划分需要能够支持VLAN的专用交换机，价格高出普通交换机很多，直接增加了建设成本。
　　2、更重要的是用于网管的人力资源空前浩大。因为，如果根据交换机端口定义VLAN，通常很容易用某种拖放软件把一个或多个用户分配到特定的VLAN。在非交换环境里，移动、添加或更改操作很麻烦，有可能要改动接线板上的跳线从一个集线器端口移动到另一个端口。基于MAC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。但为了用户的计算机可以连接交换网络的任何一个端口，所有通信量均能正确无误的到达目的地，管理员仍要要进行VLAN初始手工分配，需要接入商投入大量的劳动。事实上为了完全避免非法使用网段，需要将全部的用户都隔离开，使用VLAN划分网段的数量和用户数量相等，这种网管的工作量将让人难以接受。
　　3、即使采用VLAN分割完毕后，所有的用户分隔后又成为了信息孤岛状态，除了简单的上网浏览服务，再难享受运营商提供的增值服务和园区内充分的局域网带宽了。
　　4、采用VLAN隔离以后，虽然可以避免一部分利用现有网络资源非法使用情况，但仍然无法避免利用一个包月接口串接若干计算机或开网吧等最恶劣的情况发生。
　　5、作为一种检测设备，NetSniper以数据接收为主，基本不发送数据，所以对带宽几乎是零占用，对传输效率没有任何影响。
　　6、NetSniper检测网络上的IP包，并可以选择拦截所有非法用户的IP包，使其处于"离线"状态（由于申请另外专线的用户，其申请和使用行为是合法的，所以我们不对该用户采取任何监视与干扰措施，我们的工作目的是阻止非法的运营行为）。
　　7、我们的设备并不对这些用户应有的权利造成任何伤害，不降低网络的传输效率，不

侵害用户的隐私权益，甚至小区内用户内部的局域网信息文件传递也分辨的清楚明白，实现只对非法使用现象的精确打击。
　　NetSniper网络尖兵系列产品的工作专一，安装、配置简单，免维护。我们提供的标准配置就可以满足绝大多数网络监控的需求；系统的性能可以根据硬件进行优化，可靠性高,是宽带网络运营商与系统集成商的最佳选择。
注：　　NetSniper及网络尖兵的名称以及相关技术的知识产权属上海上大雷克网络系统有限公司所有。其他产品及技术属于各自的拥有者。
上海上大雷克公司
ISP如何检测控制多机共享ADSL连接　
图一、NAT的工作原理　
ADSL给大家上网带来的极大地方便，许多家庭都有好几台计算机，通过ADSL共享上网的方式可以各自上网，互不干扰，可最近很多朋友告诉我，如果只有一台机子访问互联网，一切正常，若两台机子都要访问互联网，则都打不开网页，打听来的消息说，电信新装网络硬件：网络尖兵。
　　上网查了一下关于网络尖兵的资料，只提到了实现的功能，没有提到实现原理，要想解决不能共享上网必须摸清它的工作原理，ADSL共享上网有两种方式，一种是代理，一种是地址翻译（NAT），大家常说的路由方式其实就是NAT方式，其实路由和NAT的原理还是有区别的，这里不作讨论，现在的ADSL猫一般都有NAT的功能，用它本身的功能实现共享上网是比经济方便，本文主要讨论这种方式。
　　要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台，NAT的工作原理如图一所示，经过NAT转换后访问外网的内网的计算机的地址都变成了192.168.0.1而且MAC地址也转换成了ADSL的MAC地址，也就是说，从原理上讲，直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。那是如何发现的呢？　
图二　　　一、分析原因
　　首先用superscan对ADSL猫进行扫描，发现开着161端口，161是SNMP（简单网络管理协议）的服务端口，难道是通过SNMP协议发现的主机数量，用xscan对猫进行了漏洞扫描，果然有默认密码，登陆到猫的管理界面但是找不到关闭SNMP服务的地方，看来是留的后门，由此基本可断定是通过SNMP协议发现的主机数。为了进一步证实，用SNMP的一个管理软件ActiveSNMP查看ADSL猫的连接情况，如图二所示，可以清楚地看出通过SNMP协议可以发现同时上网的主机数量。　
图三　
二、解决方法
　　解决的方法就是屏蔽SNMP协议。有以下几个思路。
　　1、猫中没有任何关闭SNMP协议的地方，可以换一个能关闭该协议的猫。
　　2、修改配置文件，可以将配置转换成一个文件，用二进制编辑工具修改默认密码，然后再加载到猫中，这只是一种思路，没有试过。
　　3、买一个ADSL路由器，例如TP-LINK
TL-R400，放到如图三所示的地方，在该路由器中再做一个NAT服务，这样进到ADSL猫中的就是一个地址，这样就解决了共享上网。注意在路由器中要关闭SNMP协议。　

网络尖兵是禁止共享上网的一个电信设备，通过侦测用户的端口、网卡mac地址和ip头等等方法，发现共享上网就干扰！

通过双网卡代理上网和使用双路由可以暂时避过它的追杀，对于单路由用户暂时没有很好的处理办法，我也深受其害，经常无法上网！
等待高手们慢慢破解吧！