关于路由限制!@#$@$%$^%&*(^*(

号号

关键词：基本没戏

[ 本贴由 号号 于 07-12-25 09:33 最后编辑 ]

号号

讲述电信禁止路由上网的最佳破解方法

    ADSL共享上网有两种方式，一种是代理，一种是地址翻译（NAT），大家常说的路由方式其实就是NAT方式，其实路由和NAT的原理还是有区别的，这里不作讨论，现在的ADSL猫一般都有NAT的功能，用它本身的功能实现共享上网是比经济方便，本文主要讨论这种方式。

    要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台，NAT的工作原理如图一所示，经过NAT转换后访问外网的内网的计算机的地址都变成了192.16 8.0.1而且MAC地址也转换成了ADSL的MAC地址，也就是说，从原理上讲，直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。那是如何发现的呢？经过研究发现它是采用多种方法探测用户是否用共享方式上网，从而进行限制，下面分别进行破解:

    一.检查同一IP地址的数据包中是否有不同的MAC地址，如果是则判定用户共享上网。破解的办法是把每台机的MAC地址改为一样.修改的方法如下:

    首先要获取本机的MAC：MAC地址是固化在网卡上串行EEPROM中的物理地址，通常有48位长。以太网交换机根据某条信息包头中的MAC源地址和MAC目的地址实现包的交换和传递。

    ⑴在Windows 98/Me中，依次单击“开始”→“运行” →输入“winipcfg”→回车。

    ⑵在Windows 2000/XP中，依次单击“开始”→“运行”→输入“CMD”→回车→输入“ipconfig /all”→回车。

    或者右键本地连接图标、选择状态然后点击支持选项卡，这里“详细信息”中包含有MAC和其它重要网络参数。

    1、如果你的网卡驱动有直接提供克隆MAC地址功能,如RealTek公司出的RTL8139芯片，那恭喜你了,点击“开始→设置→控制面板”，双击“网络和拨号连接”，右键点击需要修改MAC地址的网卡图标，并选择“属性”。在“常规”选项卡中，点击“配置”按钮，点击“高级”选项卡。在“属性”区，你应该可以看到一个称作 “Network ADDRess”或“Locally Administered Address”的项目，点击它，在右侧“值”的下方，输入你要指定的MAC地址值。要连续输入12个数字或字母，不要在其间输入“-”。重新启动一次系统后设置就会生效了（Windows 98和Windows 2000/XP用户操作略有区别，请参照系统说明操作）

    2、如果你的网卡驱动没有提供克隆MAC地址功能,那下面分别提供一些方法,希望能找到一个适合你的

    WIN98下:

    a.在"网上邻居"图标上点右键，选择"属性"，出来一个"网络"对话框，在"配置"框中，双击你要修改的网卡，出来一个网卡属性对话框。在"高级"选项中，也是点击"属性"标识下的"Network Address"项，在右边的两个单选项中选择上面一个，再在框中输入你要修改的网卡MAC地址，点"确定"后，系统会提示你重新启动。重新启动后，你的网卡地址就告修改成功！！

    b.点击“开始→运行”，键入“winipcfg”，选择你要修改的网卡，并记录MAC地址值。点击“开始→运行”，输入“regedit”运行注册表编辑器（在修改注册表前，一定要先备份注册表），依据注册表树状结构，依次找到“HKEY_LOCAL_MACHINESystemCurrentControlSetServicesClassNet”，你会看到类似“0000”、“0001”、“0002”等样子的子键。从“0000”子键开始点击，依次查找子键下的“DriverDesc” 键的内容，直到找到与我们查找的目标完全相同的网卡注册表信息为止。
当找到正确的网卡后，点击下拉式菜单“编辑→新建→字符串”，串的名称为“networkaDDRess”，在新建的“networkaddress”串名称上双击鼠标，就可以输入数值了。输入你指定的新的MAC地址值。新的MAC地址应该是一个12位的数字或字母，其间没有“-”，类似“00C095ECB761”的样子。

    有两种方法激活新的MAC地址：

    如果你使用的是普通内置网卡，就必须重新启动计算机来使修改生效。

    如果你使用的是PCMCIA卡，你可以按照下面的步骤操作而不必重新启动操作系统：运行winipcfg，选择并释放DHCP设置，关闭winipcfg。打开控制面板或系统托盘“PC Card (PCMCIA)”，停止并弹出PCMCIA网卡。重新插入PCMCIA网卡，打开winipcfg，选择并刷新DHCP设置，运行winipcfg，确定修改的MAC地址已生效。

    WIN2000下:

    a.在桌面上网上邻居图标上点右键，选"属性"，在出来的"网络和拨号连接"窗口中一般有两个图标，一个是"新建连接"图标，一个是"我的连接"图标。如果你的机器上有两个网卡的话，那就有三个图标了。

    b.如果你只有一个网卡，那就在"我的连接"图标上点右键，选"属性"，会出来一个"我的连接 属性"的窗口。在图口上部有一个"连接时使用："的标识，下面就是你机器上的网卡型号了。在下面有一个"配置"按钮，点击该按钮后就进入了网卡的属性对话框了，这个对话框中有五个属性页，点击第二项"高级"页，在"属性"标识下有两项：一个是"Link Speed/Duplex Mode",这是设置网卡工作速率的，我们需要改的是下面一个"Network Address",点击该项，在对话框右边的"值"标识下有两个单选项，默认得是"不存在" ，我们只要选中上面一个单选项，然后在右边的框中输入你想改的网卡MAC地址，点"确定"，等待一会儿，网卡地址就改好了，你甚至不用停用网卡！

    你也可以在"设置管理器"中，打开网卡的属性页来修改，效果一样。

宝华

:

号号

　WinXP下

　　大部分的网卡都可以通过在控制面板中修改网卡属性来更改其MAC地址。在“设备管理器中”，右键点击需要修改MAC地址的网卡图标，并选择“属性/高级”选项卡。在“属性”区，就可以看到一个称作“Network Address”或其他相类似名字的的项目，点击它，在右侧“值”的下方，输入要指定的MAC地址值。要连续输入12个十六进制数字或字母，不要在其间输入“-”。
　　另外有几个可以修改MAC的软件都可以在XP/W2K下运行,大家可以去网上搜下,所以这里就不详细介绍了

　　linux下

　　需要用 #ifconfig eth0 down 先把网卡禁用 ,再用ifconfig eth0 hw ether 1234567890ab ,这样就可以改成功了。
　　要想永久改,就在/etc/rc.d/rc.local里加上这三句(也可在/etc/init.d/network里加下面三行)
　　ifconfig eth0 down
　　ifconfig eth0 hw ether 1234567890ab
　　ifconfig eth0 up

　　如果你想把网卡的MAC地址恢复原样，只要再次把"Network Address"项右边的单选项选择为下面一个"没有显示"再重新启动即可。在WIN2000下面是选择"不存在"，当然也不用重新启动了。

　　二、通过SNMP（简单网络管理协议）来发现多机共享上网。有些路由器和ADSL猫内置SNMP服务，通过扫描软件(ipscan、superscan......)扫描一下，发现开着161端口，161是SNMP（简单网络管理协议）的服务端口，难道是通过SNMP协议发现的主机数量，用xscan对猫进行了漏洞扫描，果然有默认密码，登陆到猫的管理界面但是找不到关闭SNMP服务的地方，看来是留的后门，由此基本可断定是通过SNMP协议发现的主机数。为了进一步证实，用SNMP的一个管理软件ActiveSNMP查看ADSL猫的连接情况,如图二所示，可以清楚地看出通过SNMP协议可以发现同时上网的主机数量。

　　解决办法：

　　1、如果该猫可以关闭SNMP协议,那就把SNMP用的161端口禁止就行了.使用路由器或打开ADSL猫的路由模式共享上网的朋友可以进入管理界面有关闭SNMP选项的关掉它。如果猫的管理界面无关闭SNMP选项的只好买一个没有SNMP服务的路由器，例如TP-LINK TL-R400，放到adsl moden和hub中间，如下图.在该路由器中再做一个NAT服务，这样进到ADSL猫中的就是一个地址，这样就解决了共享上网。 注意在路由器中要关闭SNMP协议。
　　2、修改配置文件，可以将配置转换成一个文件，用二进制编辑工具修改默认密码，然后再加载到猫中，这只是一种思路，没有试过

　　三、监测并发的端口数，并发端口多于设定数判定为共享。

　　这是一个令人哭笑不得的设定，“网络尖兵”不停扫描用户打开的端口数，多于设定值的就判断是共享，有时连按几次F5键它是认为是共享，连单用户上网也受到了影响，这个就没法破解了(除非你把网络尖兵黑了)，俺这里的解决办法是装成无辜的用户到ISP的客服电话大骂，并声明搞不好就换ISP，一会儿网络就正常了。

　　四、“网络尖兵”还使用了未知的方法从共享的计算机中探测到共享的信息。

　　目前解决的办法是所有共享的客户机均要安装防火墙，把安全的级别设为最高，因条件有限，只试用了几种防火墙，发觉金山网镖V有用。把IP配置规则里面所有的允许别人访问本机规则统统不要，允许PING本机不要，防止ICMP、IGMP攻击也要勾选。如果是WINXP,要打开网卡的网络防火墙。
　　采取以上破解的办法后，在自己的局域网不能看到本机，而且WINXP打开网卡的网络防火墙后，在QQ不能传送文件，网速有所减慢，但总算又可以共享了，如果有好的办法，也请大家告知。
　　总的来说，“网络尖兵”还是一个不成熟的产品，主要是他对单用户上网也产生影响，浏览网页经常要刷新几次，有的网页比较复杂，要调用几个服务器文件时它也当你是共享，造成网页部分不能显示。并且由于“网络尖兵”不停扫描用户端口占用带宽，导致网速变慢。

号号

电信的路由封堵有两种方式：
第一：彻底的路由表封杀。这一般是用于上级下发的黑名单操作。目前这样的方式比较少。不过在校园，网络安全设备中常用。大运营商采取这种方式的少。
第二：旁路阻塞。此类方式目前已经在国内各大电信运营商中采用，其原理就是在网络中，通过光分路设备将流量分流到协议分析处理设备中。这样可以随时监察违规信息出现，如果发现，则通过向路由器发重定向包来阻断通讯，以达到封杀的目的。目前的所谓绿网工程全是这类设备干的。最著名的封杀项目有GOOGLE的CACHE。还有类似F-L-G等网站也都是采用这类方式封杀掉的。

“网络尖兵”是采用多种方法探测用户是否用共享方式上网，从而进行限制。网络尖兵是北京青铜梦想科技发展中心开发的网络非法接入检测及封堵器。它可以自动检测出网络中私自架设的代理服务器系统或非法路由器，并对通过非法代理服务器的IP包以及流向非法路由器的IP包进行封堵。通过这种封堵，有效的避免了用户恶意偷逃上网费用的情况发生。网络尖兵的出现，成功的解决了宽带社区运营中出现的费用流失问题,并为规范化收费提供了基础.

修改MAC地址早就已经证实是无效的！

关闭snmp161,162端口，无效，电信立刻能发现你还是在使用路由。

把内网机器的网卡MAC都设置成猫的MAC,保持整个网络只有两个MAC地址（PPPOE拨号最少需要两个MAC,一个是网卡MAC,一个是虚拟拨号MAC)，无效，还是马上被封掉。

已证明电信不是通过侦查MAC来发现路由。

通过路由器，只用一台机子A上网，网络OK；用两台A和B同时上网，则会被封。

在机器A上打开共享和虚拟网卡,设置网关使机器B通过机器A,机器A则经过路由来上网，（这样对于路由器来说，只有一台机器连接上网）还是被封。

这说明，电信不是通过扫描终端电脑端口来发现是否使用路由，而应该是拦截数据包进行分析来反路由。

使用机器A直接上网，没有使用原带的ICS和NAT协议，而是用另外下载的NAT32增强协议来制作网络共享，机器B通过A上网，马上被封。

所有机器安装防火墙，开到最高级防护，关闭了几乎所有端口，无效，同样被封。

使用其他第三方共享协议，比如使用过Homeshare里的Inet制作共享，同样被封。

机器A单机上网，打开共享，在机器A上安装Vmware和Virtual PC，虚拟的电脑使用真实网卡共享连接（不是使用虚拟机默认的虚拟网卡，而是把虚拟的电脑修改成为真实的局域网里的一部分），虚拟的电脑都有自己不同的网卡，使用不同的MAC，按理说应该被封，但是却能正常上网。这说明电信对数据包的分析已经达到了最底层，甚至与协议、系统可能都没有关系，应该和机器的真实物理硬件上的某些数据有关系。 其他方法。。。。目前还在研究中, （再次申明不是网卡MAC和网卡的牌子等等）
以上各种方法综合使用，同样无效。

[ 本贴由 号号 于 07-12-25 09:25 最后编辑 ]

号号

破解电信封路由软件,欢迎大家下载.
转载请注明出自雨林木风 bbs.ylmf.com,本贴地址:http://bbs.ylmf.com/read.php?tid=211467&u=500496
最近在网上看到不少人被封路由,所以发个破解电信封路由的软件.
大家还可以进到你路由器的官方网站去下载升级软件,也可以破解电信封路由的.
软件大了点,上转不了把网址给大家自己下载吧!
共享神盾下载地址及使用方法
“共享神盾”横空出世，“网络尖兵”惨遭破解“共享神盾”横空出世，“网络尖兵”惨遭破解 这款软件名字叫共享神盾(ShareShield)，它的功能很专一，就是为了破解电信和网通等运营商对用户的宽带共享的限制。
如果对宽带共享比较关注一点的兄弟应该听说过，有很多运营商都上了一套叫“网络尖兵”的设备，这种设备很神奇，通过它运营商就可以知道一条宽带下面带了多少台机器，如果机器数比较多，运营商就会找上门了。
对于运营商的这种限制，大家都表示很气愤，但是又拿不出一个解决问题的技术手段来，所以说，这个软件是生逢其时阿。
软件的帮助很简单，里面提到每台共享上网的机器都需要安装这个软件（这个是自然啦），然后如果是代理服务器的话，那么代理服务器上不需要安装，如果是宽带路由器，那就更不用做特殊处理了。
被运营商限制的兄弟们，赶紧来体验一下，看看效果如何吧！下载网址是
http://www.sd002.com/shareshield.htm
http://download.it.com.cn/softweb/software/network/nethelper/200611/18921.html
http://www.52aya.com/Download.asp?ID=1508
步骤1:关闭路由器或者代理服务器SNMP服务。
--如果你是使用宽带路由器上网，那么在宽带路由器中要关闭SNMP协议，具体请参考路由器使用手册。
--如果你是使用代理服务器上网，那么在代理主机中要关闭SNMP协议，可以通过卸载SNMP服务也可以通过防火墙来禁用161端口来实现。

步骤2：在每台使用共享宽带上网的主机上安装“共享神盾”。
--共享神盾完全免费。
--共享神盾专门针对“网络尖兵”设备开发，可以对用户的数据进行隐藏和整流，从而使得“网络尖兵”无法探测到共享主机数量。
--突破共享宽带封锁
为了帮助家庭、网吧等共享上网用户不受网络运营商的限制。软件提供突破电信、网通使用网络尖兵设备封锁功能。
--拦截恶意软件木马
由于很多恶意流氓软件都采用注入IE和资源管理器方法偷偷下载文件，所以软件还提供独有的HTTP、FTP应用层防火墙功能，可以拦截程序下载文件并通知用户。软件还提供了对一千多个恶意网站过滤功能，给您的电脑以更完善的保护。

*共享神盾1.3Beta开始测试
#修复网络游戏掉线问题
#增强底层驱动伪装
#增加隐藏任务栏图标功能
#增加热键呼出功能

*共享神盾1.2发布(2006.9.14)
#修复MSN不能上网问题
#增加随机报文ID功能
#增加HTTP、FTP应用防火墙功能
#增加恶意网站过滤功能
#采用新界面

*共享神盾1.1发布（2006.8.25）
#具备基本突破功能

*安装说明
为了保证所有主机以一致的方式进行报文伪装,请务必在每台使用共享宽带上网的主机上都安装“共享神盾”,这样才能使得电信认为你只有一台主机,启动后,采用默认设置即可突破封锁.

另外，网络上所说的关于关闭宽带路由器的SNMP服务可以突破封锁情况，目前尚未得到证实，共享神盾
用户可以无需关心这个问题，直接使用共享神盾就可以突破封锁了。
如今有很多地方的ISP限制多机共享上网，只要一条线路被连接多台电脑并上网，就会自动断线。很多高手对此提供了多种有效的对策，然而这些方法还是让“菜鸟”朋友摸不着头脑。其实借助“共享神盾”这款软件就可以突破目前的限制，无须过多复杂设置
一、突破共享上网限制有“神招”
1.原理
ISP主要是通过类似“网络尖兵”、“信风”等检测软件来限制用户共享上网，当用户主机被检测到发送的数据报文不一致时，检测软件将会认为有多台主机共享上网，于是进行封锁。“共享神盾”的原理就是让共享上网的所有主机以一致的方式进行报文伪装，“骗”ISP以为只有一台电脑在上网。
2．安装



目前，“共享神盾”最新版本是1.3Beta，不过在安装过程可能会出现微软硬件驱动程序检测的警告而无法安装，我们可以在安装前关闭驱动程序检测功能，方法是：在桌面上右击“我的电脑”，然后依次点击“属性”→“硬件”→“驱动程序签名”，最后在打开的“驱动程序签名”窗口中选中“忽略－安装软件，不用征求我的同意”项即可。
3．启动


所有共享上网的电脑安装好“神盾”后，需要共同启动“共享神盾”，成功启动后保持默认设置即可突破ISP共享上网的限制。在其中一个主机中可以在软件主窗口中看到网络的运行状态（如图）。
不过，有的用户在启动“神盾”时并非一帆风顺，可能会出现“启动转发器失败”的提示，这主要是由于主机中不止有一个网卡，这时在出现“启动共享神盾转发器失败”提示窗口中点击“确定”，进入该界面后点击左侧“突破共享限制”项，然后在右侧“请选定用来上网的网络接口”下选择用来上网的网卡，最后保存配置并重新启动“共享神盾”即可。
如果仍然不能解决问题，那么请到系统SYSTEM32文件夹中删除wpcap.dll和packet.dll文件，另外在SYSTEM32文件夹下的“drivers”子文件夹中删除npf.sys文件，重新启动系统后，再到共享神盾安装目录中运行winpcap.exe程序。
二、有效拦截恶意软件木马


应该说突破共享的过程基本不用任何设置，除此之外，软件还可以帮你有效拦截恶意软件和木马，从而让你有一个安全的网络空间。


在“共享神盾”主界面中点击“应用防火墙”，然后确保选中了“启用HTTP防火墙”和“启用FTP防火墙”，接着分别选中“禁止HTTP下载危险文件”项和“禁止FTP下载危险文件”项，这样可以禁止恶意软件和木马通过注入IE和资源管理器的方法而偷偷安装到你的电脑中。另外还能通过点击“编辑危险文件后缀名”来添加禁止下载的文件类型，例如禁止下载扩展名为EXE的程序，则只要在打开的窗口中输入“exe”，最后点击“添加”即可。
如果选中“启用危险站点过滤保护”项，那么可以使用软件提供的对近两千个恶意网站的过滤功能。
只要局域网中的每台电脑都安装了共享神盾，就完全可以实现共享上网，不过提醒大家如果以后升级软件时也要进行同步升级，确保伪装效果
参考资料：http://www.dhghost.cn/?u=339969

闲置-阿华

这么复杂，估计没几个人能搞得懂，还是老老实实缴费吧，再怎么缴费也比一个人用便宜:

号号

网络尖兵，何方神圣
其实NetSniper网络尖兵并不神秘。他是一套由上海某网络系统公司在数年前开始推出的一套维护管理系统。
网络尖兵整体分为三部分：网络尖兵控制器、网络配置管理器和日志管理器。
其中硬件设备—网络尖兵控制器已经发展为I和II两种型号。I适用于检测和控制私拉专线；II适用于检测和控制共享上网和盗用MAC地址上网。
网络配置管理器用于配置和管理网络尖兵控制器的相关参数。日志管理器用于接收和处理网络尖兵控制器发送的日志信息。
在线路上安置标准机架式的网络尖兵硬件后，网络服务商与管理者可以进行相当全面的设置。 网络尖兵基于TCP/IP环境，它可以自动检测出网络中未经允许架设的代理服务器或路由器，阻止盗用他人MAC地址的行为，并对这些代理服务器的IP包以及流向此类路由器的IP包进行自动拦截。
最终可以有效避免用户逃费或私自运营的情况，网络服务商将拥有一个可管理的宽带网络。正是基于此，所以各地的网络服务商开始陆续启用了网络尖兵。监控原理，尚未公开 深得服务商青睐的网络尖兵到底是通过什么方式监视用户呢？共享上网又是如何被发现的呢？网络上展开了对网络尖兵的讨论。
因为涉及到商业利益，所以设备供应商与网络服务商都没有公开网络尖兵的工作原理。普通网民能了解到的信息都来自于非官方的互联网。
ADSL共享上网一般是通过路由NAT方式，经过路由转换后访问外网的内网计算机的IP地址都变成了192.168.0.1，而且MAC地址也转换成了ADSL Modem的MAC地址。直接在ADSL出口检查NAT转换后的数据包是很难全面监控的。
网络尖兵通过类似superscan之类的工具软件对ADSL猫进行扫描，发现开着161端口的PC数量。因为161端口是SNMP（简单网络管理协议）的服务端口，当其数量多于网络服务商设定数判定为共享。
还有人认为网络尖兵在使用了未知的方法从共享的计算机中探测到共享的信息，当判断为共享上网也会报警。在发现非法用户时，NetSniper可以发出特定的控制包，使非法用户处于“离线”状态。网络爆发，攻防大战
虽然对其工作原理是众说纷纭，但网友对网络尖兵大多持抵制态度，虽然厂商宣称，作为一种检测设备，网络尖兵以数据接收为主，不发送数据，所以对带宽占用量几乎为零。但还是有不少人在网上抢着批评网络尖兵的弊端。
罪状一： 最大的罪状自然是限制了网络自由，不能让用户与他人共享上网。如果你长期和亲朋好友、邻居一起组网共用ADSL线路，会被网络服务商发现并警告。
罪状二： 其不停扫描用户打开的端口数，多于设定值的就判断是共享，有时连按几次F5键它是认为是共享，连单用户上网也受到了影响。
罪状三： 其不停扫描影响网速，造成浏览网页经常要刷新几次；但某些网页比较复杂，要调用几个服务器文件时它也当你是共享，部分页面不能正常文字

战虎

还是看着好复杂，转网好了，转个还能共享的用。

号号

电信封杀ADSL宽带共享技术的原理揭秘


    【IT168 转载】电信运营商是如何发现我们进行ADSL共享的呢？据相关人士透露，此前电信经常使用的产品包括网络尖兵、星空极速和南京信风，特别是网络尖兵最为常用。

    网络尖兵工作原理

    NetSniper网络尖兵是上海上大雷克网络系统有限公司开发的网络接入检测及控制器。它可以自动检测出网络中私自架设的代理服务器系统或非法路由器，并对通过非法代理服务器的IP包以及流向非法路由器的IP包进行控制。

    网络尖兵原来采用的检测技术主要是：

    1、检查从下级IP出来的IP包的IP-ID是否是连续的，如果不是连续的，则判定下级使用了nat。

    2、检查从下级IP出来的IP包的ttl值是否是32、64、128这几个值，如果不是，刚判定下级使用了nat。

    3、检查从下级IP出来的http请求包中是否包含有proxy的字段，如果有，则下级用了http代理。

    由于检测和防检查技术的对抗升级，现在可能增加了检测的内容：

    一、通过行为统计：

    1. 在三秒内同一IP对两个以上的网站进行Request，将此IP定位透过NAT进行传输。

    2. 在两秒内，若同一IP对同一个网站，进行两次以上的Request，将此IP定位透过NAT进行传输。

    二、深度检测数据包内容：

    1.检测并发连接数量

    2.检测下级IP出来的QQ号码数量,如果同时有5个QQ号,则判定为共享.

    3.更多的检测方法

新出现的检测技术

    随着市场发展，现在也有城市热点等公司提供了新的技术和方案，常用的技术有某些公司采取的技术有轨迹检测法、时钟偏移检测法和应用特征检测法。

    方法之一ID（identification）轨迹检测法：

    对来自某个源IP地址的TCP连接中，IP头中的16位标识（identification），对于某个windows用户，其 identification随着用户发送的IP包的数量增加而逐步增加，如果在一段时间后，发现某个源IP地址，如图所示，有三段 identification在连续变化，则说明该“黑户”此时最少有三个用户在同时使用宽带。

    方法之二时钟偏移检测法：

    不同的主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系；不同的主机发送报文的频率因此与时钟存在一定统计对应关系；通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同的主机。

    方法之三应用特征检测法：

    数据报文中的HTTP报头中的User－agent字段因操作系统版本、IE版本和布丁的不同而不同。因此通过分析不同的HTTP报头数而确定主机数。另外对于一台主机同一时间只能登录一个MSN帐号，据此分析可判断主机数。Windows update 报文里也包含一些操作系统版本信息，也可以据此计算主机数。

    通过以上三种方法就能很准确地非法接入的宽带用户地主机数，无论其采用共用NAT、共用Proxy、或分时段共用帐号上网（包括ADSL和LAN上网两种模式），该非法接入监控系统，都能得到IP地址与所携带用户数的准确对应关系，借助于Radius论证报文，再将它转换为用户帐号与所携带用户数的对应关系。当然，由于本方案采用了多个指标来综合分析，为排除干扰提高准确性，并不实时提供这种对应关系，而是采用按天/周/月提供统计报表的形式，将结果提交给运营商的相关部门。