電信服務(wù)商監(jiān)控并記錄網(wǎng)民上網(wǎng)記錄_第1頁(yè)
電信服務(wù)商監(jiān)控并記錄網(wǎng)民上網(wǎng)記錄_第2頁(yè)
電信服務(wù)商監(jiān)控并記錄網(wǎng)民上網(wǎng)記錄_第3頁(yè)
電信服務(wù)商監(jiān)控并記錄網(wǎng)民上網(wǎng)記錄_第4頁(yè)
電信服務(wù)商監(jiān)控并記錄網(wǎng)民上網(wǎng)記錄_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、電信服務(wù)商監(jiān)控并記錄網(wǎng)民上網(wǎng)記錄電信服務(wù)商監(jiān)控并記錄網(wǎng)民上網(wǎng)記錄原理分析及案例分析近段時(shí)間,一個(gè)在電信上班的朋友經(jīng)常說(shuō),他們有辦法知道一個(gè)NAT網(wǎng)關(guān)內(nèi)部的電腦主機(jī)數(shù),而且能夠記錄里面任何人的上網(wǎng)記錄,聽(tīng)得我是心癢癢的,可問(wèn)他方法,他又死活不說(shuō),郁悶。今天比較閑,腦袋里又想起了這事,想來(lái)想去,認(rèn)為電信很可能采用欺騙客戶端的方法,讓客戶端的信息首先發(fā)到監(jiān)控主機(jī),然后再發(fā)到目標(biāo)服務(wù)器。為證實(shí)推斷是否合理,抱著試試的心態(tài),立即在自己的機(jī)器上做了以下實(shí)驗(yàn),步驟如下:1.打開(kāi)機(jī)器上的科來(lái)網(wǎng)絡(luò)分析系統(tǒng)。2.添加一個(gè)圖1所示的過(guò)濾器,為的是只捕獲我的機(jī)器()和網(wǎng)關(guān)(00: D0:41:26:3F:9E)以及外

2、網(wǎng)的數(shù)據(jù)通訊,即不捕獲我與內(nèi)部網(wǎng)之間的通訊。(圖1設(shè)置過(guò)濾器)3.為減少數(shù)據(jù)干擾,在關(guān)閉本機(jī)上運(yùn)用的其它應(yīng)用程序后,開(kāi)始捕獲。4.在本機(jī)上訪問(wèn)一個(gè)網(wǎng)頁(yè),這里以訪問(wèn)為例。5.在頁(yè)面出來(lái)后,停止捕獲,并開(kāi)始分析系統(tǒng)捕獲到的數(shù)據(jù)包。6.此次網(wǎng)頁(yè)訪問(wèn)系統(tǒng)共捕獲到了22個(gè)數(shù)據(jù)包,原始數(shù)據(jù)包的列表如圖2所示。(圖2原始數(shù)據(jù)包列表)從圖2中可知,編號(hào)1,2,3的數(shù)據(jù)包是TCP的三次握手?jǐn)?shù)據(jù)包,第4個(gè)數(shù)據(jù)包是客戶端發(fā)起的HTTP GET請(qǐng)求,后面是服務(wù)器端的返回?cái)?shù)據(jù)。從這些數(shù)據(jù)包來(lái)看,感覺(jué)通訊是正常的,于是切換到矩陣視圖,查看通訊的節(jié)點(diǎn)情況,如圖3。(圖3訪問(wèn)的矩陣圖)在圖3中,發(fā)現(xiàn)了一個(gè)奇怪的地址,由于我此

3、次的操作僅僅只訪問(wèn)了,所以是不應(yīng)該出現(xiàn)這個(gè)地址的。這個(gè)引起了我的注意,會(huì)不會(huì)這個(gè)地址在作怪呢?7.再切換到數(shù)據(jù)包視圖,發(fā)現(xiàn)客戶端()的確存在和的通訊。奇怪了,為什么會(huì)主動(dòng)和進(jìn)行通訊呢,會(huì)不會(huì)是有人在偽造數(shù)據(jù)包呢?為確定是否存在偽造數(shù)據(jù)包的情況,我強(qiáng)制顯示數(shù)據(jù)包的IP層摘要信息,在圖2所示的數(shù)據(jù)包視圖中,單擊右鍵,在彈出的菜單中選擇“數(shù)據(jù)包摘要->IP摘要”,查看這些數(shù)據(jù)包IP層的信息,如圖4。(圖4通過(guò)IP層摘要查看的偽造數(shù)據(jù)包)從圖4可知,TCP三次握手的服務(wù)器返回?cái)?shù)據(jù)包(編號(hào)2)的生存時(shí)間是48,而第5個(gè)數(shù)據(jù)包的生存時(shí)間卻是119,同一個(gè)服務(wù)器返回的兩個(gè)數(shù)據(jù)包生存時(shí)間差別如此之大,表

4、示它們經(jīng)過(guò)的路由存在較大的差異,這與正常通訊的狀態(tài)明顯不符,由此我們懷疑編號(hào)為5的數(shù)據(jù)包可能是某個(gè)主機(jī)偽造的。查看該數(shù)據(jù)包的解碼(圖4中間,紅色圈住部份),發(fā)現(xiàn)該數(shù)據(jù)包是由發(fā)起的,這表示主動(dòng)向發(fā)起了一個(gè)欺騙數(shù)據(jù)包,雙擊第5個(gè)數(shù)據(jù)包,打開(kāi)該數(shù)據(jù)包的詳細(xì)解碼窗口,如圖5。(圖5偽造的數(shù)據(jù)包的詳細(xì)解碼信息)從圖5解碼信息中可知,該數(shù)據(jù)包的TCP標(biāo)記中,同時(shí)將確認(rèn)位、急迫位、終止位置為1,這表示這個(gè)數(shù)據(jù)包想急于關(guān)閉連接,以防止客戶端()收到服務(wù)器()的正常響應(yīng),它這樣做的目的是獲取客戶端()傳輸?shù)臄?shù)據(jù)信息,其獲得的信息如圖4中的右下角紅色圈住部份,這是一個(gè)base64的編碼信息,其具體的信息我會(huì)在后面

5、進(jìn)行詳細(xì)說(shuō)明。8.由于客戶端()被偽造的數(shù)據(jù)包5欺騙,所以它向服務(wù)器()確認(rèn)并發(fā)送一個(gè)關(guān)閉連接請(qǐng)求的數(shù)據(jù)包,也就是第6和第7這兩個(gè)數(shù)據(jù)包9.第9和第10這兩個(gè)數(shù)據(jù)包,也是偽造的重置連接數(shù)據(jù)包,它的目的是欺騙客戶端()關(guān)閉連接。10.接著,客戶端()主動(dòng)向發(fā)起TCP的三次握手,即第8,11,12這三個(gè)數(shù)據(jù)包,以和建立連接。11.13,14,15,17這幾個(gè)數(shù)據(jù)包,是客戶端()和之間的數(shù)據(jù)通訊。從第15這個(gè)數(shù)據(jù)包的解碼中,可以清楚地看到將重新將訪問(wèn)重定向到,從而讓客戶端()向再次發(fā)起頁(yè)面訪問(wèn)請(qǐng)求,以讓客戶端()完成正常的網(wǎng)頁(yè)訪問(wèn),其解碼如圖6。(圖6向發(fā)起的數(shù)據(jù)包)12.  &

6、#160;     16,18,19是客戶端()向服務(wù)器()發(fā)起三次握手?jǐn)?shù)據(jù)包。13.        20,21,22是三次握手成功后,客戶端和服務(wù)器正常的HTTP通訊數(shù)據(jù)包,也就是傳遞客戶端所請(qǐng)求的頁(yè)面,這里是。14.        查看會(huì)話,選擇TCP,發(fā)現(xiàn)此次的網(wǎng)頁(yè)訪問(wèn)共連接起了3個(gè)連接,如圖7。這三個(gè)連接的TCP流重組信息分別如圖7,8,9,通過(guò)流的重組信息,我們也可以較為清楚地

7、看到客戶端和服務(wù)器(),以及客戶端和之間的數(shù)據(jù)通訊信息。(圖7此次網(wǎng)頁(yè)訪問(wèn)產(chǎn)生的三個(gè)TCP連接及第一個(gè)連接的TCP流信息)圖7中,客戶端()向發(fā)起GET請(qǐng)求,但從服務(wù)器端返回的數(shù)據(jù)可知,返回服務(wù)器是,且?guī)Я艘淮産ase64編碼的參數(shù), “ABcHJvdmluY2VpZD04Jm隨機(jī)刪除部份MTIwNDExJnNvdXJjZXVybD13d3cuY29sYXNvZnQuY29tLw=”,對(duì)其進(jìn)行反編譯后的內(nèi)容如下:“provinceid=8&cityid=2&classid=1000541&username=adsl撥號(hào)用名&sourceurl=注意:上面的紅色刪

8、除部份和adsl撥號(hào)用戶名已經(jīng)過(guò)筆者更改。這里很清楚了吧,主動(dòng)欺騙客戶端讓客戶端告訴自己的相關(guān)信息。客戶端在收到此請(qǐng)求后,由于不知道被欺騙,所以它會(huì)立即主動(dòng)和建立連接,并發(fā)送相關(guān)信息給,從而導(dǎo)致信息被電信監(jiān)控,讓電信可以輕易的知道我們的網(wǎng)頁(yè)訪問(wèn)情況。(圖8欺騙客戶端的TCP流信息)圖8即客戶端()主動(dòng)向發(fā)起的連接,并告知其相應(yīng)的信息。在圖中的下面我們可以看到,在收到相應(yīng)的信息后,再次強(qiáng)客戶端的請(qǐng)求重定向到,即用戶需要訪問(wèn)的頁(yè)面。(圖9客戶端和第二次連接的TCP流信息)圖9即是客戶端在被欺騙后,再次向發(fā)起GET請(qǐng)求,且服務(wù)器正常返回?cái)?shù)據(jù)的信息,這讓電信在不知不覺(jué)中完成了對(duì)用戶網(wǎng)頁(yè)訪問(wèn)的監(jiān)控。至此

9、,訪問(wèn)的過(guò)程全部分析完畢。從該分析中,我們明白了電信監(jiān)控我們普通用戶訪問(wèn)網(wǎng)頁(yè)的具體方法,其訪問(wèn)流程如圖10所示。(圖10客戶端實(shí)際的訪問(wèn)流程圖)1.客戶端主機(jī)()向發(fā)起正常的訪問(wèn)網(wǎng)頁(yè)請(qǐng)求。2.監(jiān)控服務(wù)器(這里是,不同地方該服務(wù)器可能不同)就立刻向客戶端發(fā)起一個(gè)偽造數(shù)據(jù)包,這個(gè)數(shù)據(jù)包的源地址被偽造成客戶端請(qǐng)求的服務(wù)器地址,同時(shí)該數(shù)據(jù)包的內(nèi)容是預(yù)先設(shè)定好的。3.客戶端主機(jī)在收到該數(shù)據(jù)包后,以為是服務(wù)器端返回的,于是它根據(jù)收到的偽造數(shù)據(jù)包的要求,主動(dòng)向發(fā)起連接,并向傳輸一些客戶端的私人敏感信息,如客戶端的撥號(hào)用戶名、訪問(wèn)的網(wǎng)址、NAT內(nèi)網(wǎng)主機(jī)數(shù)等信息。再次將訪問(wèn)重定向的指令發(fā)給。5.客戶端根據(jù)第4步中收到的指令,再

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論