电信公司探测内网主机数量的原理！

qinla · 发表于 2007-5-13 20:32:53

菜鸟人飞前面分析了电信是如何监视我们上网的，在这里我分析一下电信是如何获得内网的主机数的。
对于公司内网，大部分都是通过NAT上网的，那么从外部看来，公司内部所有的电脑上网都用了同一个公网IP，只是端口不同，那么电信是如何获得内网主机的数量的呢？
经过网页代码的传输分析，终于找到了这个原理！
原来我们在访问一些网站时，网站都会在我们的电脑硬盘上留下一个标记，表示这台电脑曾经访问过该网站，当然这个标记在一段时间后就会自己消失，这个标记就称为COOKIE，而这个标记是不会重复的是这台电脑在该网站的的唯一标志，当浏览器在次访问该网站时就会检查自己的硬盘上是否有该网站的COOKIE，有就会读取它，发到该网站上去。如果没有该网站就会分配一个COOKIE给这台电脑。我们这里以www.baidu.com为例来分析，当电信监视某一IP浏览百度网站的COOKIE，有多少个不同就可以定下内网有多少主机，当然这需要确定在某一时间内，且并不是所有的内网主机都会上百度去，你也可以手动删除百度的COOKIE，但这都是少数情况，结合其他的网站统计是可以大概分析出内网的主机数的。
下面是以百度为例的分析过程：
访问百度时得到的HTTP数据包的分析

qinla · 发表于 2007-5-13 20:42:44

原帖由 qinla 于 2007-5-13 20:32 发表
菜鸟人飞前面分析了电信是如何监视我们上网的，在这里我分析一下电信是如何获得内网的主机数的。
对于公司内网，大部分都是通过NAT上网的，那么从外部看来，公司内部所有的电脑上网都用了同一个公网IP，只 ...

一小时后在次上百度的数据包：
蓝色的部分是COOKIE标志，和一小时前是样的：

qinla · 发表于 2007-5-13 20:51:28

原帖由 qinla 于 2007-5-13 20:42 发表

一小时后在次上百度的数据包：
蓝色的部分是COOKIE标志，和一小时前是样的：

这样当在次上百度时浏览器就会把那串代码发给百度（这串代码在一段时间内是不会消失的，但可以手工删除），百度就不会分配给另外的代码，内网不同的机子就会有不同的代码，所以电信就会探测到我们内网的主机数了。。。。

呵呵！上面是我个人的见解，欢迎指正，也欢迎大家讨论提出不同的意见！！！谢谢~~

robur · 发表于 2007-5-13 21:10:51

不是所有的网站都会分配Cookie的
而且Cookie不是必要的HTTP请求的一部分

通常情况下，我们认为的判断内网主机数，是通过：
IP首部的标识字段，高端口，甚至是并发连接……

通常情况下，如果一个IP地址，连续发送的SYN包的源端口都是上万的高端口（一般大于3W吧），那么很可能是NAT了……

qinla · 发表于 2007-5-13 22:11:36

高的源端口，大量的并发连接只能判断NAT的存在与否，但不能判断出NAT后面的主机数，如果电信只监控百度的COOKIE，那么在一天内监控到10个不同的百度COOKIE，那么就可以判断NAT后至少有十台电脑（一些人为因素除外）。如我公司有50台电脑，但是，电信打电话告诉我有24台电脑，要我办成企业的ADSL，要贵好多。。。。，我没去办，等等再说，呵呵！！

jjyy1314699 · 发表于 2007-5-14 00:04:46

  厉害人物

顶下哈  快弄个结论出来给我门也知道
  谢谢哦

msi111 · 发表于 2007-6-9 11:15:21

好像还没有人研究出来怎样防电信监控.

dky198 · 发表于 2007-6-9 12:52:05

我们这里电信也封共享上网了，但是我们却可通过“共享神盾”来突破封锁

cchhd · 发表于 2008-12-17 13:59:11

我这里更猛

内网ip都可以探测到

juncheng_liu · 发表于 2008-12-18 10:42:48

ddddddddddddddddddd

alizhu · 发表于 2008-12-18 15:16:11

原帖由 qinla 于 2007-5-13 22:11 发表
高的源端口，大量的并发连接只能判断NAT的存在与否，但不能判断出NAT后面的主机数，如果电信只监控百度的COOKIE，那么在一天内监控到10个不同的百度COOKIE，那么就可以判断NAT后至少有十台电脑（一些人为因素除外）。 ...

50台机子还用的ADSL，多少M？

yulingyun · 发表于 2008-12-26 10:30:55

电信是用了信风系统，

电信公司探测内网主机数量的原理！

本帖子中包含更多资源

本帖子中包含更多资源

呵呵