Como eles detectam que alguém está amarrando um dispositivo não é algo sobre o qual os provedores de rede desejam conversar, pela razão óbvia de que quanto mais os consumidores sabem como isso está sendo detectado, mais fácil é encontrar maneiras de ocultar fato de que estão fazendo isso e evite os custos adicionais associados (1) . No entanto, existem certas técnicas conhecidas que revelam o fato de você estar vinculando no momento, se o seu provedor de serviços estiver executando a ferramenta certa para verificar esses indicadores:
O seu telefone pergunta à sua rede se o compartilhamento é permitido
O primeiro e mais fácil método é que alguns telefones consultem a rede para verificar se o contrato atual permite o compartilhamento e, em seguida, desabilitem totalmente as opções de compartilhamento no dispositivo do software. Isso geralmente acontece apenas se você estiver executando uma versão do SO que foi personalizada pelo seu provedor, exemplo 1 exemplo 2 .
O telefone informa à sua rede que você está amarrando
Também há rumores de que alguns telefones têm um segundo conjunto de detalhes de APN salvos pela rede telefônica; quando você habilita o compartilhamento, eles passam a usar esse segundo APN para todo o tráfego vinculado, enquanto usam o APN normal para o tráfego originado no telefone. No entanto, não encontrei nenhuma evidência concreta disso, além de pessoas que encontram APNs estranhos e se perguntam para que servem (lembre-se de que um telefone desbloqueado comprado por contrato pode ter centenas ou milhares de APNs armazenados nele, prontos para serem usados. usar em qualquer rede do país em que o eventual proprietário decidir usá-la).
Inspecionando os pacotes de rede quanto ao seu TTL (tempo de vida)
Todo pacote de rede que viaja através de uma rede TCP / IP , como a Internet, possui um TTL (Time-to-Live ) incorporado , de modo que, caso haja um problema com o pacote atingindo seu destino, isso o interromperá. viajando pela rede para sempre entupir tudo.
A maneira como isso funciona é que o pacote começa com um número TTL (por exemplo, 128) definido quando sai do dispositivo de envio (seu telefone ou laptop) e depois toda vez que o pacote viaja por um roteador de qualquer tipo (como o seu roteador de banda larga doméstico ou um roteador no seu ISP ou companhia telefônica) que subtraia um do TTL (que diminuiria o TTL para 127 neste exemplo), o próximo roteador pelo qual ele viaja diminui o TTL novamente e, portanto, Se o TTL chegar a zero, o roteador descarta o pacote e não o transmite novamente.
Quando o telefone está conectado, ele age como um roteador. Assim, à medida que o pacote passa do laptop conectado pelo telefone e para a rede telefônica, o telefone subtrai "1" do TTL para mostrar que o pacote passou pelo primeiro roteador . As redes telefônicas sabem quais são os TTLs esperados de dispositivos comuns (por exemplo, pacotes de um iPhone sempre iniciam em um TTL de 64) e, portanto, podem detectar quando são um a menos (ou totalmente diferente) do que esperavam.
Inspeção de endereço MAC
Os dispositivos em uma rede TCP / IP, como a Internet, todos têm um ID MAC exclusivo definido em suas interfaces de rede. É composto por duas metades, uma metade identificando o fabricante da interface e a outra metade sendo um identificador exclusivo atribuído pelo fabricante (como um número de série). Todo pacote de rede enviado será "carimbado" com o endereço MAC da porta de rede do dispositivo de origem. O endereço MAC da placa wifi do seu laptop terá um fabricante e código serial muito diferentes do endereço MAC da interface 3G do seu telefone.
Sistemas operacionais de computadores diferentes (por exemplo, Android, iOS, Windows, Mac OSX, Linux etc.) configuram suas pilhas TCP / IP com diferentes valores e configurações padrão (por exemplo, Tamanho inicial do pacote, TTL inicial, Tamanho da janela ...). A combinação desses valores pode fornecer uma "impressão digital" que pode ser usada para identificar qual sistema operacional está sendo executado no dispositivo de origem. Um efeito colateral disso pode significar que, se você estiver usando um sistema operacional incomum ou semelhante ao do seu telefone no outro dispositivo, seu tethering poderá não ser detectado .
Olhando para o IP / URL de destino
Você pode aprender muito com o que um dispositivo se comunica regularmente.
Por exemplo, hoje em dia, muitos sistemas operacionais realizam o Captive Portal Detection quando se conectam a uma rede Wi-Fi (como a conexão de conexão sem fio), eles fazem isso tentando se conectar a um servidor Web conhecido na Internet e verificando se eles obtenha a resposta que eles estão esperando. Se a resposta esperada não for recebida, é provável que a conexão wifi em que você esteja seja um "portal cativo" e precise que você faça login ou pague para se conectar a ele. Como os sistemas operacionais da Microsoft (como Windows Vista e Windows 7 verificam com um servidor da Microsoft por padrão e outros sistemas operacionais como Android, MacOS e outros) todos se conectam aos servidores da empresa mãe para fazer essas verificações, ele pode ser usado como uma boa indicação do funcionamento sistema logo após a conexão inicial.
Além disso, se um dispositivo entrar em contato regularmente com os servidores Windows Update, é muito provável que seja um PC ou laptop com Windows, enquanto que, se verificar regularmente com os servidores de atualização Android do Google, provavelmente será um telefone. Ou se eles perceberem que você está se conectando à Apple App Store, mas o IMEI do dispositivo em que seu cartão SIM está indica que não é um dispositivo Apple, talvez você esteja conectando um iPad a um telefone Android?
Sistemas mais sofisticados podem analisar toda uma gama de dados com quem você está se comunicando (por exemplo, você está se conectando aos servidores de API do aplicativo do Facebook com maior probabilidade de um telefone ou aos servidores da Web do Facebook com maior probabilidade de um PC) e adicione uma carga completa desses indicadores para criar uma impressão digital que indica que tipo de dispositivo você provavelmente está usando. Algumas dessas impressões digitais podem ser detectadas quando novos tipos de dispositivos e serviços são lançados, por exemplo, há relatos de que logo após a saída dos tablets com 3G embutido, alguns proprietários destes na rede da AT&T receberam e-mails avisando que eles estavam amarrando quando não estavam, pois a impressão digital desse novo estilo de dispositivo não parecia um telefone típico.
(1) Obviamente, antes de tentar qualquer método para ignorar a detecção de tethering, lembre-se de verificar seu contrato telefônico e as políticas da empresa de telefonia sobre tethering. Eles podem ter cláusulas de penalidade enterradas em seu contrato, Política de Uso Justo ou Política de Uso Aceitável para pessoas que tentam ignorar suas restrições e limites.
deep packet inspection. Você pode lutar com TOR, túneis e VPNs cercados por Stacheldraht.