[原创]电信网页访问监控原理分析！

菜鸟人飞

版权所有：转帖请注明转自CSNA网络分析论坛，并保留作者信息。
完整PDF文档下载
关键字：电信　监控　网页访问　网络　分析　科来

近段时间，一个在电信上班的朋友经常说，他们有办法知道一个NAT网关内部的电脑主机数，而且能够记录里面任何人的上网记录，听得我是心痒痒的，可问他方法，他又死活不说，郁闷。今天比较闲，脑袋里又想起了这事，想来想去，认为电信很可能采用欺骗客户端的方法，让客户端的信息首先发到监控主机，然后再发到目标服务器。
为证实推断是否合理，抱着试试的心态，立即在自己的机器上做了以下实验，步骤如下：
1.打开机器上的科来网络分析系统。
2.添加一个图1所示的过滤器，为的是只捕获我的机器（192.168.0.88）和网关（00: D0:41:26:3F:9E）以及外网的数据通讯，即不捕获我与内部网之间的通讯。
   
（图1　设置过滤器）
3.为减少数据干扰，在关闭本机上运用的其它应用程序后，开始捕获。
4.在本机上访问一个网页，这里以访问www.colasoft.com为例。
5.在页面出来后，停止捕获，并开始分析系统捕获到的数据包。
6.此次网页访问系统共捕获到了22个数据包，原始数据包的列表如图2所示。
  
（图2　原始数据包列表）
从图2中可知，编号1,2,3的数据包是TCP的三次握手数据包，第4个数据包是客户端192.168.0.88发起的HTTP GET请求，后面是服务器端的返回数据。从这些数据包来看，感觉通讯是正常的，于是切换到矩阵视图，查看通讯的节点情况，如图3。
   
（图3　访问www.colasoft.com的矩阵图）
在图3中，发现了一个奇怪的地址220.167.29.102，由于我此次的操作仅仅只访问了www.colasoft.com，所以是不应该出现这个地址的。这个220.167.29.102引起了我的注意，会不会这个地址在作怪呢？

完整PDF文档下载

菜鸟人飞

7.再切换到数据包视图，发现客户端（192.168.0.88）的确存在和220.167.29.102的通讯。
奇怪了，为什么192.168.0.88会主动和220.167.29.102进行通讯呢，会不会是有人在伪造数据包呢？为确定是否存在伪造数据包的情况，我强制显示数据包的IP层摘要信息，在图2所示的数据包视图中，单击右键，在弹出的菜单中选择“数据包摘要->IP摘要”，查看这些数据包IP层的信息，如图4。
  
（图4　通过IP层摘要查看220.167.29.102的伪造数据包）
从图4可知，TCP三次握手的服务器返回数据包（编号2）的生存时间是48，而第5个数据包的生存时间却是119，同一个服务器返回的两个数据包生存时间差别如此之大，表示它们经过的路由存在较大的差异，这与正常通讯的状态明显不符，由此我们怀疑编号为5的数据包可能是某个主机伪造的。
查看该数据包的解码（图4中间，红色圈住部份），发现该数据包是由220.267.29.102发起的，这表示220.267.29.102主动向192.168.0.88发起了一个欺骗数据包，双击第5个数据包，打开该数据包的详细解码窗口，如图5。
  
（图5　220.167.29.102伪造的数据包的详细解码信息）

菜鸟人飞

从图5解码信息中可知，该数据包的TCP标记中，同时将确认位、急迫位、终止位置为1，这表示这个数据包想急于关闭连接，以防止客户端（192.168.0.88）收到服务器（www.colasoft.com）的正常响应，它这样做的目的是获取客户端（192.168.0.88）传输的数据信息，其获得的信息如图4中的右下角红色圈住部份，这是一个base64的编码信息，其具体的信息我会在后面进行详细说明。
8.由于客户端（192.168.0.88）被220.167.29.102伪造的数据包5欺骗，所以它向服务器（www.colasoft.com）确认并发送一个关闭连接请求的数据包，也就是第6和第7这两个数据包
9.第9和第10这两个数据包，也是220.167.29.102伪造的重置连接数据包，它的目的是欺骗客户端（192.168.0.88）关闭连接。
10.接着，客户端（192.168.0.88）主动向220.167.29.102发起TCP的三次握手，即第8,11,12这三个数据包，以和220.167.29.102建立连接。
11.13,14,15,17这几个数据包，是客户端（192.168.0.88）和220.167.29.102之间的数据通讯。从第15这个数据包的解码中，可以清楚地看到220.167.29.102将重新将访问重定向到www.colasoft.com，从而让客户端（192.168.0.88）向www.colasoft.com再次发起页面访问请求，以让客户端（192.168.0.88）完成正常的网页访问，其解码如图6。

（图6　220.167.29.102向192.168.0.88发起的数据包）

菜鸟人飞

12.        16,18,19是客户端（192.168.0.88）向服务器（www.colasoft.com）发起三次握手数据包。
13.        20,21,22是三次握手成功后，客户端和服务器正常的HTTP通讯数据包，也就是传递客户端所请求的页面，这里是www.colasoft.com。
14.        查看会话，选择TCP，发现此次的网页访问共连接起了3个连接，如图7。这三个连接的TCP流重组信息分别如图7,8,9，通过流的重组信息，我们也可以较为清楚地看到客户端和服务器（www.colasoft.com），以及客户端和220.167.29.102之间的数据通讯信息。
  
（图7　此次网页访问产生的三个TCP连接及第一个连接的TCP流信息）
图7中，客户端（192.168.0.88）向www.colasoft.com发起GET请求，但从服务器端返回的数据可知，返回服务器是220.167.29.102，且带了一串base64编码的参数， “ABcHJvdmluY2VpZD04Jm随机删除部份MTIwNDExJnNvdXJjZXVybD13d3cuY29sYXNvZnQuY29tLw==”，
对其进行反编译后的内容如下：“provinceid=8&cityid=2&classid=1000541&username=adsl拨号用名&sourceurl=www.colasoft.com/”
注意：上面的红色删除部份和adsl拨号用户名已经过笔者更改。
这里很清楚了吧，220.167.29.102主动欺骗客户端让客户端告诉220.167.29.102自己的相关信息。客户端在收到此请求后，由于不知道被欺骗，所以它会立即主动和220.167.29.102建立连接，并发送相关信息给220.167.29.102，从而导致信息被电信监控，让电信可以轻易的知道我们的网页访问情况。

菜鸟人飞

（图8　220.167.29.102欺骗客户端的TCP流信息）
图8即客户端（192.168.0.88）主动向220.167.29.102发起的连接，并告知其相应的信息。在图中的下面我们可以看到，220.167.29.102在收到相应的信息后，再次强客户端的请求重定向到www.coalsoft.com，即用户需要访问的页面。
  
（图9　客户端和www.colasoft.com第二次连接的TCP流信息）
图9即是客户端在被220.167.29.102欺骗后，再次向www.colasoft.com发起GET请求，且服务器正常返回数据的信息，这让电信在不知不觉中完成了对用户网页访问的监控。

[ 本帖最后由 菜鸟人飞 于 2006-4-21 14:42 编辑 ]

菜鸟人飞

至此，访问www.colasoft.com的过程全部分析完毕。从该分析中，我们明白了电信监控我们普通用户访问网页的具体方法，其访问流程如图10所示。
  
（图10　客户端实际的访问流程图）
1.客户端主机（192.168.0.88）向www.colasoft.com发起正常的访问网页请求。
2.监控服务器（这里是220.167.29.102，不同地方该服务器可能不同）就立刻向客户端发起一个伪造数据包，这个数据包的源地址被伪造成客户端请求的服务器地址，同时该数据包的内容是预先设定好的。
3.客户端主机在收到该数据包后，以为是服务器端返回的，于是它根据收到的伪造数据包的要求，主动向220.167.29.102发起连接，并向220.167.29.102传输一些客户端的私人敏感信息，如客户端的拨号用户名、访问的网址、NAT内网主机数等信息。
4.220.167.29.102再次将访问重定向的指令发给192.168.0.88。
5.客户端根据第4步中收到的指令，再次向www.colasoft.com发起正常的访问网页请求。
6.www.coalsoft.com将客户端请求的页面传给客户端（192.168.0.88），让客户端成功完成网页访问。
以上便是电信网页访问监控原理的简单分析过程，注意实验的环境是内部通过NAT方式，并使用ADSL拨号上网，对于其它的连接方式以及其它的ISP接入，由于没有相应的环境，并未进行测试。

CSNA网络分析论坛　菜鸟人飞
2006年4月21日

快乐3幸福4

看得晕乎乎的，电信这样也太TM黑了吧，它这样不是完全监控了我们的网页访问吗？
有方法避免吗？另外网通、长宽，铁通这些，是不是也都是这样的啊？
心寒中。。。

菜青虫

我按照上面 的过滤器设置，怎么没捕捉到楼主说的情景呢？

是不是电信监控服务器不是一直在监控，

只是在某些时间段才监控呀？

土豆

我们网吧的会不会被监控啊？用的是ADSL

大水牛

网吧不用说，肯定更是在监视范围之内。我在家中是小区宽带上网，走的是PPPoE协议，一样有上面的欺骗存在。总是弹出“雪花啤酒”的广告．愤闷中.....

菜青虫

哈哈，雪花啤酒，俺也有~~~

有时还来点什么电信的互联星空广告

忍之~~~`

nyhshuai

兄弟，强人！分析的非常棒，长见识了！

DragonGo

电信恶心的很，不仅这样，而且还推一堆乱七八糟的广告给你！
投诉了n次都给我装孙子。。

cwym29

嗯，看了，不过有些地方没看懂。
先收下，5.1长假再慢慢研究研究。。。

网络粪便

俺回家也试试
还是要亲身操作才影像深刻哟

天蓝

好象现在又没有广告了，估计是感觉做得过火了些。

菜鸟人飞

好像不是每次都可以重现，我们这用的是ADSL，一般情况下，在早上刚来上班时，比较容易重现

cwym29

下面这种情况跟上面的一样吗？
就是在访问某些网页时，会跳出很多其它的窗口，什么黄色网站之类，这种是这样的吗？
怎么分析呢？

woshisha

难道网络尖兵就是用的这样的原理来获取客户的拖机的情况吗??

菜鸟人飞

原帖由 cwym29 于 2006-5-8 14:53 发表
下面这种情况跟上面的一样吗？
就是在访问某些网页时，会跳出很多其它的窗口，什么黄色网站之类，这种是这样的吗？
怎么分析呢？

这个应该不是这样的，这种情况可能是感染了病毒，从而强制加载了这些黄色网站的窗口。

菜鸟人飞

原帖由 woshisha 于 2006-5-15 17:28 发表
难道网络尖兵就是用的这样的原理来获取客户的拖机的情况吗??

没对网络尖兵进行过测试，你有类似的数据包吗？发一个上来，大家一起研究研究。

lxsoft

sadffdfdsfdsfds

jiesen

如果用户通过HTTPS方式访问外网服务器，电信只能知道用户访问的是哪个IP或域名；如果用户再通过代理服务器访问外网的话，电信就不知道用户访问的地址了！是吗！呵呵！

springwind426

如果在NAT机上做一个透明代理（并设置不转发用户信息），这样它是不是就无法监控拖机的数量呢？

网络雄猫

很好的文章!是你做的吗 ?可以多交流!
qq:7553969

菜鸟人飞

原帖由 网络雄猫 于 2006-5-23 15:56 发表
很好的文章!是你做的吗 ?可以多交流!
qq:7553969

呵呵，可以啊，多多交流，共同提高。

MSN：cwym29@hotmail.com
QQ：16114816

edwinshu

如何穿越他的限制呢?请给一个方法.非常谢谢.

xiongsqq

猛!!!!!!!!!!!!

wonderfulc

内网的主机怎么把内网的机器数传递出去,很难理解

zhou7n

不知道有什么办法可以反追踪啊， 哪位知道说说咯。