近期长三角一代联通和移动又大面积推动了一次 vBRAS 上线 IPoE 改造割接,
很多群里的小伙伴发现一夜之间自己的光猫被推送了路由模式并且已经变为 IPoE 认证,
但是在割接后发现打开很多互联网大厂网站,频繁要求滑动验证,点击验证,
相关 APP 也经常出现网络环境异常的提示,甚至外卖网购下单被风控无法下单,
还有一些人社交账号被无缘无故的封号。
结合相关群友来看,时间点集中在割接 vBRAS 和 IPoE 后,因此推断是某一变化导致被各互联网大厂风控。
经过近两周的抓包对比测试,最终将问题确定在了 MTU 上,
改造 IPoE 前的网络由于使用 PPPoE 认证导致 MTU 普遍在 1492 以下正常是 1480 ,
改造 IPoE 后网络 MTU 为标准的 1500 ,
猜测这些大厂的风控措施有一种探测来源 IP 的 MTU 进行风控的规则,
包括不限于使用 ICMP/TCP/UDP 对你的客户端 IP 发送或者回复一个标准 1500 尺寸包且不允许分片的方式,
经过多次控制变量的测试(全新操作系统,新的 IP ,连续使用一天左右),
以某厂为例,首次使用一个新 IP 打开该网站后,会收到 4~6 个 ICMP 包,尺寸是 1500 ,1472 ,1440 ,1280 ,
四种尺寸包正常回复:有风控,搜索任意关键字会弹出点击验证码,
1500 回复 code3 type4 ,其他正常回复:正常
1500 ,1472 回复 code3 type4 ,其他正常回复:正常
1500 ,1472 ,1440 回复 code3 type4 ,1280 正常回复:有风控,网页正常,登录提示环境异常
全部丢弃:有风控,但是很轻微,没有很多提示,偶尔会出几个验证码
因此推测 MTU 是这些大厂来判断客户端是 IDC 还是家庭客户的条件之一,
也可以推测出 IPoE 的 1500 MTU 会被认为是 IDC ,低于 1440 会被认为是代理,所以被疯狂风控。
解决方法很简单,先在光猫用 1480 的 MTU ,也可以用 iptables 处理,
但是经过群友尝试,iptables 规则并不能完全覆盖这些探测包,
比如某厂 APP 是在业务的 TCP 长连接发送大包探测。
有没有更合适的方法来规避这些探测呢?
以及,联通的 VNE9000 是哪个厂商的 vBRAS 呢?
很多群里的小伙伴发现一夜之间自己的光猫被推送了路由模式并且已经变为 IPoE 认证,
但是在割接后发现打开很多互联网大厂网站,频繁要求滑动验证,点击验证,
相关 APP 也经常出现网络环境异常的提示,甚至外卖网购下单被风控无法下单,
还有一些人社交账号被无缘无故的封号。
结合相关群友来看,时间点集中在割接 vBRAS 和 IPoE 后,因此推断是某一变化导致被各互联网大厂风控。
经过近两周的抓包对比测试,最终将问题确定在了 MTU 上,
改造 IPoE 前的网络由于使用 PPPoE 认证导致 MTU 普遍在 1492 以下正常是 1480 ,
改造 IPoE 后网络 MTU 为标准的 1500 ,
猜测这些大厂的风控措施有一种探测来源 IP 的 MTU 进行风控的规则,
包括不限于使用 ICMP/TCP/UDP 对你的客户端 IP 发送或者回复一个标准 1500 尺寸包且不允许分片的方式,
经过多次控制变量的测试(全新操作系统,新的 IP ,连续使用一天左右),
以某厂为例,首次使用一个新 IP 打开该网站后,会收到 4~6 个 ICMP 包,尺寸是 1500 ,1472 ,1440 ,1280 ,
四种尺寸包正常回复:有风控,搜索任意关键字会弹出点击验证码,
1500 回复 code3 type4 ,其他正常回复:正常
1500 ,1472 回复 code3 type4 ,其他正常回复:正常
1500 ,1472 ,1440 回复 code3 type4 ,1280 正常回复:有风控,网页正常,登录提示环境异常
全部丢弃:有风控,但是很轻微,没有很多提示,偶尔会出几个验证码
因此推测 MTU 是这些大厂来判断客户端是 IDC 还是家庭客户的条件之一,
也可以推测出 IPoE 的 1500 MTU 会被认为是 IDC ,低于 1440 会被认为是代理,所以被疯狂风控。
解决方法很简单,先在光猫用 1480 的 MTU ,也可以用 iptables 处理,
但是经过群友尝试,iptables 规则并不能完全覆盖这些探测包,
比如某厂 APP 是在业务的 TCP 长连接发送大包探测。
有没有更合适的方法来规避这些探测呢?
以及,联通的 VNE9000 是哪个厂商的 vBRAS 呢?
2
Select Language