[原创]电信网页访问监控原理分析！

Roy · 发表于 2006-6-1 12:16:51

原帖由 zhou7n 于 2006-6-1 11:23 发表
不知道有什么办法可以反追踪啊，哪位知道说说咯。

在公司的防火墙设定规则，封掉电信监控主机的IP和端口，这样局域网内部的客户端无法连接电信监控主机
如果防火墙够高级，能够封掉伪造数据包，那就更棒。
封掉伪造数据包可以有两种方式：
1、检查HTTP flow中异常的TTL变化，缺点是：可能也会不小心封掉一些多路由返回的数据包，但是这种情况很少，而且TCP支持重传
2、检查HTTP flow中前几个数据包，进行模式匹配，封掉包含特定字符串的数据包（比如电信监控主机IP地址），缺点是：可能比较消耗资源，出现性能问题。

Roy · 发表于 2006-6-1 12:48:01

原帖由 wonderfulc 于 2006-5-31 18:42 发表
内网的主机怎么把内网的机器数传递出去,很难理解

具体内部是如何实现的不太清楚
但是从前面抓包的信息来看，如果之前客户端没有发送cookie给电信监控主机，电信监控主机会push一个新的cookie给客户端，也就是说它至少可以cookie来检查内部的主机数量。
不过可能还会结合其他一些技术。

Roy · 发表于 2006-6-1 12:52:16

原帖由 jiesen 于 2006-5-22 23:13 发表
如果用户通过HTTPS方式访问外网服务器，电信只能知道用户访问的是哪个IP或域名；如果用户再通过代理服务器访问外网的话，电信就不知道用户访问的地址了！是吗！呵呵！

是的，如果通过架设在国外的SSL加密代理访问Internet，不但可以突破本地电信的监控，还可以突破The great firewall of China.

zhoub88 · 发表于 2006-6-10 12:05:40

xue xi zhong

hy0933 · 发表于 2006-6-10 14:44:43

小区宽带上网，走的是PPPoE协议，一样有上面的欺骗存在。总是弹出“雪花啤酒”的广告．愤闷中

allfree · 发表于 2006-6-13 18:50:50

这软件有没有破解版的,啊,

longxin9 · 发表于 2006-6-16 10:31:57

楼主您好.我是江苏连云港的.现在我们这里的电信恶心到只要有两台机器用ADSL上网就监控到并不让你打开别的网页.提示暂停服务让打10000号.我用的是TP-LINKRJ460的路由器.有什么方法可以让他们无法监控我吗?谢谢了. 我只想自己的三台电脑都能上网.

founder · 发表于 2006-6-17 14:42:28

精彩，真精彩！LZ分析的太好了!

fictionboy · 发表于 2006-6-19 14:37:54

lz，交流一下心得～～～～～

菜鸟人飞 · 发表于 2006-6-19 15:36:26

原帖由 fictionboy 于 2006-6-19 14:37 发表
lz，交流一下心得～～～～～

当然
论坛就是交流的场所。

oar · 发表于 2006-6-20 11:30:34

继续挺贴，以赚取下载附件资格

wangchenbing · 发表于 2006-6-20 14:29:31

谢谢,迷惑了很久终于明白了

wangchenbing · 发表于 2006-6-20 14:30:10

谢谢,迷惑了很久终于明白了

x-man · 发表于 2006-6-24 17:30:52

电信不会这么监控吧，有什么用呀。

helpme · 发表于 2006-6-24 17:54:00

好文章，楼主真的很厉害！

ValorZ · 发表于 2006-6-24 18:51:44

原帖由 longxin9 于 2006-6-16 10:31 发表
楼主您好.我是江苏连云港的.现在我们这里的电信恶心到只要有两台机器用ADSL上网就监控到并不让你打开别的网页.提示暂停服务让打10000号.我用的是TP-LINKRJ460的路由器.有什么方法可以让他们无法监控我吗?谢谢了. ...

你分析一下你的网络数据包，看看电信是通过什么方式监控你NAT内网中的主机数量的..
然后，我们再来研究怎么破解那个监控方式，不然就是无的放矢阿

xianyun · 发表于 2006-6-25 11:47:21

楼上,能否提供一个科来的专家版号呢? 呵呵.

ValorZ · 发表于 2006-6-26 09:35:22

原帖由 xianyun 于 2006-6-25 11:47 发表
楼上,能否提供一个科来的专家版号呢? 呵呵.

呵呵，科来我没用过，不过WildPackets OmniPeek Personal或者ethereal都不错，都是功能强大的免费版本。

chilongchilong · 发表于 2006-6-26 18:27:56

haodfgdsfg

LOVE · 发表于 2006-6-26 20:30:02

科来很小这点比起来就很强了

force · 发表于 2006-6-28 11:26:45

这么麻烦，难的不是数据的捕获而是分析吧

做端口镜像就可以了，要是数据分析要很强的处理器和软件才行吧

寒枫 · 发表于 2006-6-28 16:11:33

够厉害，佩服，能分析到这种程度，

594srk · 发表于 2006-7-3 10:55:24

今天收到電信打的電話，威脅要停我的網，上網查到了這篇文章。這才想起真有這回事。
上個月時我安裝了東方網盾，其中有網站�?查功能，按照說明例添加對csna網的許可。
*.csna.*
可在上csna時，老是不停的跳轉IP，當時沒注意，現在想起?恚娦耪嫠麐尯凇Ｒ郧霸诒镜仉娦诺恼搲袭敯嬷骶褪菫榱私虅e人怎麼共享上網，被電信的網管封了一次。

没数据包分析软件的用东方网盾试试就知道这是真的了，真鄙视通信商。
拿着国家给的钱搞的建设，还要圈纳税人的钱！！！！！

[ 本帖最后由 594srk 于 2006-7-3 11:03 编辑 ]

ValorZ · 发表于 2006-7-3 11:26:45

垄断行业，没办法....

netpig · 发表于 2006-7-3 17:47:20

第一次来这里学习。
请多多指教。谢谢。

caojq9902 · 发表于 2006-7-4 09:54:41

版主：
我也按照你说的那样采集数据，然后在矩阵图中会有两个未知的IP地址出现，那么怎么才能判断这两个IP地址属于电信的了？我在网上找不到电信的IP，有师们办法可以得到吗？

菜鸟人飞 · 发表于 2006-7-4 09:56:22

找不到电信的IP？
除开你你正常访问的IP以外的，就可能是欺骗你的IP，即电信的IP

trh792 · 发表于 2006-7-4 10:29:02

经典之作,啊............

wxyzjr · 发表于 2006-7-4 12:51:32

楼主采集的报文和电信能采集到的报文是不一样的，例如源IP地址如果是私网地址经过NAT后是要修改成公网地址的。应该尽量采集NAT转换后的报文。另私网主机数？？？在报文的那个字段力有？？？我觉得没有什么好办法。只能从报文的很细节的地方才能分析出来。靠6个传统的包头是不行的。电信想分析用户的网络行为是很容易的（除非用户加密），随便找个核心设备分光就可以了。想干扰也很容易。

fief · 发表于 2006-7-6 16:27:46

最后一个图没看懂……我的愚见，好像感觉上应该是客户机→监控服务器→网站服务器这个过程吧，不然客户机向网站服务器发起连接，监控服务器怎么察觉呢？怀疑电信的DNS服务器那一步就做了手脚了。
我乃新人、菜鸟，盼各位大牛不吝赐教！

[原创]电信网页访问监控原理分析！

xue xi zhong

楼主在线的.想问一下怎么样能解决

谢谢,迷惑了很久终于明白了

谢谢,迷惑了很久终于明白了

bucuo

今天收到電信打的電話，威脅要停我的網，

疑问

[原创]电信网页访问监控原理分析！

xue xi zhong

楼主在线的.想问一下怎么样能解决

谢谢,迷惑了很久终于明白了

谢谢,迷惑了很久终于明白了

bucuo

今天收到電信打的電話 ，威脅要停我的網，

疑问

今天收到電信打的電話，威脅要停我的網，