Подмена TTL - прошлый век или как уберечься от распознавания интернет-трафика со стороны оператора?

3,7k full reads
4,9k story viewUnique page visitors
3,7k read the story to the endThat's 77% of the total page views
2,5 minutes — average reading time
Автор данной статьи не призывает читателей к незаконным действиям, а также не поддерживает использование описываемых ниже методов.
Пост носит развлекательный характер. Все персонажи вымышлены. Любые совпадения случайны.

Где-то лет пять-семь назад сотовые операторы стали предоставлять тарифы с безлимитным мобильным интернетом. Объёмы пользовательского интернет-трафика тогда были на порядки ниже и для среднестатистического пользователя такие тарифы были просто не выгодны, но кое-кто покупался на безлимит, отдавая операторам больше денег, чем он тратил обычно.

Но были и те, для кого подобные тарифы уменьшали нагрузку на личный бюджет. Например, у некоего Ивана есть дача, где он проживает всего несколько месяцев в году. Прокладывать туда проводной интернет, чтобы затем платить огромную сумму за то, чем почти не пользуешься, ему крайне не хотелось. И вот ему приходит в голову простая идея: купить SIM-карту с безлимитным интернетом и USB-модем, чтобы можно было выходить в интернет с ноутбука практически в любом месте, где есть связь. Наш герой на радостях несётся в салон связи и узнаёт, что в комплекте с USB-модемами нет SIM с безлимитным интернетом.

"Ну ничего!", - думает Иван. - "Меня не проведёшь!". И покупает отдельно SIM с безлимитным интернетом, а б/у модем приобретает у хороших знакомых. В предвкушении победы над жадным оператором связи, наш герой подключает все это дело к ноутбуку, устанавливает необходимое ПО, нажимает на подключение и-и-и.... Ничего! Соединение есть, а интернета нет. При попытке зайти на любой сайт его сопровождает информационное окно, оповещающее о том, что недавно купленная им SIM-карта может использоваться только в телефоне/смартфоне.

Как оператор связи определяет с какого устройства происходит подключение к мобильной сети?
Как оператор связи определяет с какого устройства происходит подключение к мобильной сети?
Как оператор связи определяет с какого устройства происходит подключение к мобильной сети?

IMEI - это MAC-адрес в сети GSM

У каждого устройства, способного подключиться к сотовой связи стандарта GSM есть особый идентификационный номер, состоящий из 15 цифр:
IMEI (International Mobile Equipment Identifier) - представляет собой уникальный номер каждого мобильного телефона стандарта GSM. Устанавливается на заводе при изготовлении и служит для точной и полной идентификации устройства в GSM сети
IMEI (International Mobile Equipment Identifier) - представляет собой уникальный номер каждого мобильного телефона стандарта GSM. Устанавливается на заводе при изготовлении и служит для точной и полной идентификации устройства в GSM сети
IMEI (International Mobile Equipment Identifier) - представляет собой уникальный номер каждого мобильного телефона стандарта GSM. Устанавливается на заводе при изготовлении и служит для точной и полной идентификации устройства в GSM сети
С его помощью можно определить что за устройство подключилось к сотовой сети.
Также с помощью IMEI можно определить серию устройства, его модель, страну-производителя и так далее

Можно ли как-то обойти проверку по IMEI?
Обычный пользователь не в силах обойти такую проверку, но при достаточном уровне навыков он может сменить* imei на тот, к которому у оператора не будет претензий
*В Латвии, Великобритании, Республике Беларусь и других странах изменение IMEI является уголовно наказуемым деянием

Возвращаемся к нашему герою. Иван не профессионал в перепрошивке USB-модемов, поэтому он решается на следующую хитрость: сменить, наконец, свой старенький кнопочный телефон на современный смартфон, а интернет раздавать с помощью Wi-Fi.

После покупки наш Иван первым делом пробует подключиться к интернету с новенького девайса, что у него без проблем получается. Радостно потирая руки в предвкушении "халявы", он подключается с ноутбука к Wi-Fi, но тут...

Ограничение раздачи интернета оператором связи
Ограничение раздачи интернета оператором связи
Ограничение раздачи интернета оператором связи

Изменение TTL устройства - прошлый век

Немного побродив по интернету наш Иван натыкается на статью, в которой объясняется почему оператор "спалил" раздачу интернета.

Все данные, пересылаемые по сети перед отправкой разделяются на пакеты, а уже затем порционно отправляются блуждать по сети в поисках своего пункта назначения. У этих пакетов есть свой срок жизни (для того, чтобы в случае ошибки сети, они не забивали канал, бесконечно блуждая по бескрайним просторам всемирной паутины, а тихонько самоуничтожались, облегчая нагрузку на сеть). Этот срок жизни указан в таком параметре, как TTL (time to live). И мало того, что у разных операционных систем этот параметр отличается, так ещё и проходя через интернет-шлюз этот параметр уменьшается на единицу.
В Windows по умолчанию TTL = 128, в Android = 64. Если раздача производится с телефона на OS Android, то на ноутбуке необходимо установить TTL = 65. В таком случае, проходя через раздающее устройство, пакеты с ноутбука и телефона будут иметь одинаковые TTL и оператору будет невозможно засечь раздачу таким способом.

Справа показаны "прыгающие" значения TTL проходящих через оператора пакетов данных
Справа показаны "прыгающие" значения TTL проходящих через оператора пакетов данных
Справа показаны "прыгающие" значения TTL проходящих через оператора пакетов данных

Покопавшись в реестре и перезагрузив ноут, Иван вновь пробует подключиться, но результат далеко не соответствует ожиданиям: к некоторым сайтам так и не удаётся подключиться, обновления для ОС и антивируса не загружаются, в общем, беда.

Как же теперь оператору удаётся засечь раздачу интернета? Неужели есть ещё какой-то параметр у этих пакетов данных, о которых мы не знаем?

DNS и DPI - теперь оператор знает о нас всё?

К сожалению, я не большой специалист по компьютерным сетям, поэтому с матчастью знаком достаточно поверхностно, но, думаю, и этого хватит, чтобы ввести Вас в курс дела.

У оператора, как правило, есть свои DNS-сервера, с помощью которых он может видеть к какому сайту идёт обращение и при необходимости блокировать подключение.
DPI - это технология проверки сетевых пакетов по их содержимому.

С помощью такого набора инструментов оператор способен снизить скорость прохождения одних пакетов и повысить скорость других, узнать не только к каким адресам в сети Интернет вы обращаетесь, но и по какому протоколу выполняется соединение, какие порты устройства задействованы, какой трафик и какое количество подключений используется, между какими ОС происходит пересылка пакетов и т.д.

Всё это позволяет понять, что пользователь включил раздачу интернета; оборудование начинает блокировать некоторые пакеты, операторы радуются, "халявщики" плачут.

Конец халяве?

Для большинства обывателей -да. Но особо хитрые пользователи научились туннелировать VPN-соединение по Wi-Fi, что позволило защититься от инспекции трафика.

Наиболее распространёнными программами на OS Android для туннелирования трафика являются VPN Hotspot (есть в PlayMarket) и PdaNet+ для девайсов с root-доступом и без него соответственно. Наиболее подробно я расскажу о них в своих следующих статьях.

Так как большинство клиентов оператора не станут изощряться с туннелированием трафика, данное решение остановит более 90% "халявщиков". Что касается остальных, то они, как правило, не настолько сильно нагружают сеть, чтобы представлять из себя большую проблему.

Статья была полезной? Тогда ставь лайк и подписывайся на канал, чтобы не пропустить следующие публикации. А также оставляй комментарии, ведь поддержка - это то, что мотивирует меня на создание новых статей :)

UPD (полезное дополнение): https://zen.me/1b5Sui