智能设备连接南科大校园网

Wenxuan SHI /
December 28, 2021
9 min read

在南科大的四年,每学期都会遇到 IoT 设备连接校园网的难题。这篇博客主要介绍如何让智能设备绕过认证直接接入校园网,以及这些操作的原理。

南科大校园网的认证原理

连接 WiFi 后,南科大校园网的 DHCP 服务器会根据设备的 MAC 地址分配一个 IP 地址。这个 MAC-IP 地址的映射关系基本保持不变。因此,设备每次登录校园网获取的 IP 地址基本保持不变。

学计算机网络的同学们期末考试前记得背一下 DHCP 的全称。不用谢~

DHCP 向联网设备下发 IP 地址的同时,也会告知设备学校专用 DNS 地址 172.18.1.92, 172.18.1.93。学校的专用 DNS 不仅提供公共域名解析服务,还提供校园内网的短地址解析(例如直接在浏览器输入 ehall/ 即可进入网上服务大厅)。

获取到 IP 地址后,设备可以访问校园内网的全部服务(包括但不限于:PMS 联创打印南科大内网文件快传CRA 网盘等)。此时,设备对外网的请求将会被拒绝,并被重定向到“校园网认证”页面。

对于想要访问外网的设备,需要通过外网请求认证,也即“校园网认证”。校园网认证有两种方式:

  1. CAS 账号登录,认证地址为172.16.16.20:803。认证过程需要填写学工号和密码。
  2. 访客登录,认证地址为172.16.16.20/srun_portal_sms。认证过程需要填写手机号和短信验证码。

认证成功后,设备 IP 被添加到南科大网络出口白名单,可以正常访问互联网。IP 地址进入白名单后将保持很长一段时间,即使设备偶尔掉线也不需要重新认证。

一般联网过程

以一台全新 iPhone 连接校园网为例:

  1. iPhone 在无线局域网设置中选择 SUSTech-wifi-5G。连接过程中,南科大 DHCP 服务器记录 iPhone 的 MAC 地址,并下发新 IP 地址和 DNS 服务器地址。
  2. Wifi 连接成功后,iOS 将自动访问 http://captive.apple.com/hotspot-detect.html 检测网址,判断 Wifi 是否需要“登录”。因为这是一个外网请求,将会被重定向到“校园网认证”页面。iOS 弹出登录提示框。
  3. 输入 CAS 账号密码通过认证后,设备 IP 地址进入出口白名单。iPhone 即可访问互联网。

将这台 iPhone 断开连接,一分钟后再次连接校园网:

  1. iPhone 再次连接 SUSTech-wifi-5G。连接过程中,南科大 DHCP 服务器找到历史记录中的 MAC-IP 对应关系,并下发与上次连接相同的 IP 地址和 DNS 服务器地址。
  2. Wifi 连接成功后,iOS 将自动访问 http://captive.apple.com/hotspot-detect.html 检测网址,判断 Wifi 是否需要“登录”。此时白名单仍然生效,不会重定向到认证页面。因此 iOS 可以正常打开检测网址,不弹出登录提示框。iPhone 即可访问互联网。

你的智能设备如何连接互联网

前文提到,“校园网认证”的本质是将设备的 IP 地址添加到南科大网络出口白名单。智能设备因为没有屏幕和键盘,无法正常输入账号密码通过认证。我们需要用一些小技巧,让智能设备的 IP 提前进入白名单。

MAC 地址伪装

再次回顾上文提到的两个条件:其一是南科大校园网会根据历史记录中的 MAC-IP 对应关系分配不变的 IP 地址;其二是 IP 地址进入白名单后能保持很长一段时间。

下面讲解 MAC 地址伪装的具体过程。为了方便,我们假设有两部设备:一部是电脑,有 MAC 地址 mac-pc 和 IP 地址 IP-pc。另一部是需要联网的智能设备,有 MAC 地址 mac-iot 和 IP 地址 IP-iot

  1. 将智能设备关机。电脑断开 WiFi 连接。
  2. 修改电脑的 MAC 地址为智能设备的 MAC 地址 mac-iot ,再连接 WiFi。欺骗 DHCP 服务器向电脑下发本属于智能设备的 IP IP-iot
  3. 在电脑上使用这个“假冒” IP 地址 IP-iot 进行校园网认证,从而将 IP-iot 加入校园网出口白名单。
  4. 断开电脑的 WiFi 连接。恢复电脑本身的 MAC 地址 mac-pc 后再次连接 WiFi,此时电脑应获得原先的 IP 地址 IP-pc
  5. 智能设备开机后自动连接校园 WiFi,将获得 IP 地址 IP-iot。这个 IP 地址已经在第三步中进入了白名单,因此设备可以直接访问互联网。

我使用这个方法成功接入了 HomePod 和 小米米家智能台灯。

如何获取智能设备的 MAC 地址?
1. 可以在包装盒上找到。根据商业部要求,所有可联网设备必须在商品包装上标注 MAC 地址。例如,HomePod 的包装盒上用贴纸贴上了设备的 MAC 地址。 2. 可以通过连接热点/路由器找到。例如将设备连入 Windows 分享的热点后,可以在 Windows 热点设置页面找到设备的详细信息,其中包括了设备的 MAC 地址。
如何修改电脑的 MAC 地址?

无感知认证

尝试多次均未成功。此方案仅供参考。

可能很多学生不知道,网络信息服务中心提供了一个网络管理平台。可以通过这个平台管理账户下所有连接 SUSTech-wifi / SUSTech-wifi-5G 的设备。在校园网环境中登录南科大个人网络管理平台,并用 CAS 登录。

在这个平台的导航栏“自服务菜单”中,选择“用户”-“无感知认证”,即可进入无感知认证的配置。在配置页面添加智能设备的 MAC 地址。重新插拔设备电源,设备联网后即可免认证访问外网。

© LICENSED UNDER CC BY-NC-SA 4.0

Loved this post? Consider following me.

I work on topics related to system security aside with many other interesting things. I would love to have friends who share the same interests.

Wish you happy