方正apabi联盟推荐.[电信监控并记录网民上网记录原理分析和案例分析].pdf

电信网页访问监控原理分析 电信网页访问监控原理分析 近段时间，一个在电信上班的朋友经常说，他们有办法知道一个 NAT 网关内部的电脑主机 数，而且能够记录里面任何人的上网记录，听得我是心痒痒的，可问他方法，他又死活不说， 郁闷。今天比较闲，脑袋里又想起了这事，想来想去，认为电信很可能采用欺骗客户端的方 法，让客户端的信息首先发到监控主机，然后再发到目标服务器。 为证实推断是否合理，抱着试试的心态，立即在自己的机器上做了以下实验，步骤如下： 1. 打开机器上的科来网络分析系统。 2. 添加一个图 1 所示的过滤器，为的是只捕获我的机器 （8）和网关 （00:D0:41:26:3F:9E）以及外网的数据通讯，即不捕获我与内部网之间的通讯。 （图1 设置过滤器） 3. 为减少数据干扰，在关闭本机上运用的其它应用程序后，开始捕获。 4. 在本机上访问一个网页，这里以访问 为例。 5. 在页面出来后，停止捕获，并开始分析系统捕获到的数据包。 CSNA 网络分析论坛 Page 1 of 9 电信网页访问监控原理分析 6. 此次网页访问系统共捕获到了22 个数据包，原始数据包的列表如图2 所示。 （图2 原始数据包列表） 从图 2 中可知，编号 1,2,3 的数据包是TCP 的三次握手数据包，第 4 个数据包是客户端 8 发起的 HTTP GET 请求，后面是服务器端的返回数据。从这些数据包来看， 感觉通讯是正常的，于是切换到矩阵视图，查看通讯的节点情况，如图3。 CSNA 网络分析论坛 Page 2 of 9 电信网页访问监控原理分析 （图3 访问 的矩阵图） 在图3 中，发现了一个奇怪的地址02，由于我此次的操作仅仅只访问了 ，所以是不应该出现这个地址的。这个02 引起了我的 注意，会不会这个地址在作怪呢？ 7. 再切换到数据包视图，发现客户端 （8）的确存在和 02 的通讯。 奇怪了，为什么 8 会主动和02 进行通讯呢，会不会是有人在 伪造数据包呢？为确定是否存在伪造数据包的情况，我强制显示数据包的IP 层摘要信息， 在图 2 所示的数据包视图中，单击右键，在弹出的菜单中选择 “数据包摘要-IP 摘要”， 查看这些数据包IP 层的信息，如图4。 （图4 通过IP 层摘要查看02 的伪造数据包） 从图4 可知，TCP 三次握手的服务器返回数据包 （编号2）的生存时间是48，而第5 个数 据包的生存时间却是 119，同一个服务器返回的两个数据包生存时间差别如此之大，表示 它们经过的路由存在较大的差异，这与正常通讯的状态明显不符，由此我们怀疑编号为 5 的数据包可能是某个主机伪造的。 查看该数据包的解码 （图4中间，红色圈住部份），发现该数据包是由220.267.29.102发 CSNA 网络分析论坛 Page 3 of 9 电信网页访问监控原理分析 起的，这表示220.267.29.102主动向8发起了一个欺骗数据包，双击第5个 数据包，打开该数据包的详细解码窗口，如图5。 （图5 02 伪造的数据包的详细解码信息） 从图5解码信息中可知，该数据包的TCP标记中，同时将确认位、急迫位、终止位置为1， 这表示这个数据包想急于关闭连接，以防止客户