封二级路由，让360随身Wifi无处藏身！！！

各位看客，身为网管的你，工作中最重要的职责之一，就是管理好网络访问的权限。因此对于像360随身wifi导致的非授权的上网行为，自然“深恶痛绝”。
那么在你工作中，除了使用360wifi，你还碰上其他方法突破授权访问网络的事情呢？对于这样的行为，你又是怎么用技术解决的呢？或者你也可以一个破坏者的角度出发提点新想法。
虽然没有正真使用过360wifi，但是通过坛子里关于它的讨论，发现其实就是一个usb网卡，配上windows的ics做的路由。从我的角度看，就是一个无线路由器，wan口和主机共享同一个ip而已。既然是路由器，那么它就有对ttl修改的动作，它会和其他正常的主机就有不同。
想到这，就准备磨刀烧水，准备开工了。
首先向大家介绍一下案例环境：一台ros做接入，一台三层cisco sf-300，以及两台可网管的dlink 1228二层交换机，很典型的网络结构。

ttl是线索，那么这个值应该怎么设置呢？正常接入的台式机都是windows xp，而使用无线接入的，十有八九是安卓的手机，他们系统的ttl值都是64。当一台直接连进二层交换机的正常的台式机pc1上网的时候，在经过三层交换机到达ros时，ttl从刚刚发送时的64，变成63。

而通过360wifi接入的pc2呢？PC2发送的数据包TTL为64，经过PC1，就减1成了63，从三层交换机出来后变成62。

知道了这样一个360wifi所具有的简单数据包“指纹”，那怎么才能检测出来呢？我用的是ROS，它的防火墙里正好有这个功能。接下来看看我在ros里的。
进入ROS，打开IP->Firewall->Filter，在forward链里添加了一条源地址为内网（192.168.0.0/21），TTL为62

将满足条件的数据包源地址添加到Addresses List里

按下“OK”，满心欢喜，自以为有了充足的理论支持和细致的图文分析，这下那家伙总能现原型了。到外面溜达一圈，回来就等看好戏了。
可是当我回来的时候，却发现基本上所有能上网的机器，都被添加到2ndRoute里了，包括我自己使用的电脑。Oh,My God，这怎么可能呢！！！晕倒。
放松，放松，老婆经常在我出状况抓狂的时候提醒我。这里唯一的变数就是ttl，难道我哪里算错了？
后来通过翻阅相关材料，找到一张iptables数据转发流程，拍脑袋才明白一件事情：在防火墙的filter/foward里的数据，是已经经过了ros路由过的，也就是ttl已经在又做修改了，我应该把条件里的ttl设置为61而不是62。附上这张揭开我迷惑的图：

重新修改一下刚才ros里的设置，调整ttl为61，清除Addresses List里那些无效的2ndRoute。一眨眼，就冒出来个192.168.4.18的地址。

现在只是我的初步观察，关键还得调查取证，用事实说话。ip由于都是登记好的，毫不费劲的找到了那台机子。我一看，前面板赫然发现一个传说中的白色360随身Wifi。
此法的关键在ttl的设置，在实际应用当中，要根据你的客户机的特点和网络的结构，做相应的调整。
此法也同样适用于普通路由器的私接。
有人说：不应该只发现，还应该外加技术手段切断上网。
在ros里其实不是问题，做策略的时候，简单把action从add src address to list 改为drop就可以实现了。
我之所以没有阻断而只是记录，是因为一旦你阻断了通信，对方就能很容易察觉，改用其他办法使我们的方法失效。而用我这个方法，我完全可以假装在例行检查的时候，突然发现，然后给他一个神秘的一笑！
有人说：这个方法用ros太复杂，能不能出个简单易用适用于大众的方法就
我想可以用端口镜像+sniffer的方法来实现，只需要在过滤里设置好ttl的值就可以了。
有人说：这个方法太容易突破了，把客户端改个ttl就完全可以。
诚然，这的确是此方法的一个最大软肋。由于策略里只是检查发出包的ttl值，而对客户端没有做任何控制，你完全可以在客户端的机器上用几条命令改ttl值。
有人说：上个行为管理吧
我觉得这真是个很不错的主意。后面的看客甚至贴出了行为管理器的截图，真是让我心动啊——那个一目了然啊。这个方法的确是权宜之计，如果你不差钱，真心推荐上行为管理，省的疲于奔命。补充一句：有钱真好，真正的好。
有人说：上AD吧
360wifi是windows平台，上个ad自然没问题。但如果对方用的不是360wifi，而是个家用无线路由器，怎么吧？
我总觉得，解决问题的办法多种多样，但都有自身的局限性，有时候不得不多管齐下，才能够解决一个问题。
本人也只是一个普通网管，见识有限，文中还多有纰漏之处，希望大家能多提意见和想法。

当然，如果看了这篇文章，也在单位里做了设置来限制私接路由的事，也欢迎你跟帖和大家分享。
不使用ROS，如何发现360wifi？
拓扑：