免认证上网 - 深澜校园网(mycc)
绕过原理
深澜(Srun)等校园网认证系统在未登录的情况下,默认会拦截大部分网络请求,但为了维持基础网络通信和 IP 分配,通常会白名单放行部分特定的端口或协议。
本次绕过的核心就是利用了这些天然的”后门”:
- UDP 53 端口:这是 DNS 协议使用的端口。认证前设备需要解析域名(如认证页地址),因此网关必须放行 UDP 53,可借此建立 DNS 隧道或将其作为代理监听端口。
- UDP 67 / 68 端口:这是 DHCP 协议使用的端口。网关为了让设备在认证前能够顺利获取到局域网 IP,必须放行这两个 UDP 端口的数据包。
- Protocol 58 (ICMPv6) / IPv6 流量:部分高校早期的计费系统只针对 IPv4 进行了严格的审计与拦截,而对 IPv6 流量(或 ICMPv6 协议的 58 号类型)处于完全放行的状态。
思路: 在拥有一台公网服务器(VPS)的前提下,将代理服务(如 WireGuard 等)的监听端口设置为 UDP 53 / 67 / 68,或者直接利用 IPv6 建立加密隧道,从而实现免认证上网。
流量绕过原理图
准备工作
1. 准备一台合适的 VPS
系统推荐:Ubuntu 22.04 LTS,长期支持版本,软件源稳定、社区资料丰富,一键脚本兼容性最好。
端口要求(关键): 选购或配置 VPS 时,需确保服务商不屏蔽以下 UDP 端口,否则绕过方案将无法生效:
| 端口 | 协议 | 用途 |
|---|---|---|
| 53 | UDP | DNS,校园网认证前通常放行 |
| 67 | UDP | DHCP Server,认证前必须放行 |
| 68 | UDP | DHCP Client,认证前必须放行 |
注意: 部分云厂商会在平台层屏蔽 UDP 53(防 DNS 放大攻击)或 67/68(防 DHCP 欺骗)。建议选择不对 UDP 端口做限制的服务商,购买前可通过工单咨询确认,或购买后用
nc -u等工具验证端口可达性。如需 IPv6 绕过,还需确认该 VPS 支持原生 IPv6。
2. 代理软件
推荐使用 WireGuard,原生 UDP 协议,性能好、延迟低、配置简单。
3. 校园网测试环境
在未登录校园网的状态下,测试 VPS 对应端口是否可达:
# 将 YOUR_VPS_IP 替换为实际 IPnc -vzu YOUR_VPS_IP 53nc -vzu YOUR_VPS_IP 67nc -vzu YOUR_VPS_IP 68配置步骤参考
整体配置流程
方法一:基于 DHCP / DNS 端口 (UDP 53/67/68) 绕过
以 WireGuard 为例(原生基于 UDP,更加轻量快速):
-
SSH 登录 VPS(Ubuntu 22.04),使用一键脚本搭建 WireGuard 服务端:
Terminal window curl -O https://raw.githubusercontent.com/angristan/wireguard-install/master/wireguard-install.shchmod +x wireguard-install.sh./wireguard-install.sh或使用带 Web UI 的
wg-easy(适合不熟悉命令行的用户)。 -
安装配置时,将监听端口(Listen Port)自定义为
53、67或68。WireGuard 默认仅使用 UDP 协议,无需额外选择。 -
在云服务商控制台(安全组 / 防火墙)中放行对应的 UDP 端口,Ubuntu 本身的
ufw防火墙也需放行:Terminal window ufw allow 53/udpufw allow 67/udpufw allow 68/udpufw reload -
将生成的客户端配置文件(通常为
.conf)下载到本地(手机端可直接扫描脚本生成的二维码导入)。导入后检查 Endpoint 字段,确保形如:Endpoint = 你的VPS_IP:67 -
连接校园网 WiFi(保持未登录状态),打开本地 WireGuard 客户端,激活该节点连接,即可实现免认证上网。
注意事项
⚠️ 免责声明: 本文仅作网络安全与技术原理的交流、学习记录。 滥用校园网漏洞进行大流量下载可能引起学校网管中心的注意,并面临被封禁设备 MAC 地址或校园网账号的风险,请合理、合规使用网络。