Chinaunix

标题: [转帖]电信网页访问监控原理分析！ [打印本页]

作者: cwym29 时间: 2006-05-23 09:38
标题: [转帖]电信网页访问监控原理分析！
转自：CSNA网络分析论坛关键字：电信　监控　网络　分析　科来

近段时间，一个在电信上班的朋友经常说，他们有办法知道一个NAT网关内部的电脑主机数，而且能够记录里面任何人的上网记录，听得我是心痒痒的，可问他方法，他又死活不说，郁闷。今天比较闲，脑袋里又想起了这事，想来想去，认为电信很可能采用欺骗客户端的方法，让客户端的信息首先发到监控主机，然后再发到目标服务器。
为证实推断是否合理，抱着试试的心态，立即在自己的机器上做了以下实验，步骤如下：
1.打开机器上的科来网络分析系统。
2.添加一个图1所示的过滤器，为的是只捕获我的机器（192.168.0.88）和网关（00: D0:41:26:3F:9E）以及外网的数据通讯，即不捕获我与内部网之间的通讯。

由于文章较长，所以没有全部贴完，完整的内容详见http://www.csna.cn/viewthread.php?tid=68。

作者: startkill 时间: 2006-05-23 11:36
看看先

作者: frank.fz 时间: 2006-05-23 15:26
想了解一下！

作者: netwatch 时间: 2006-05-24 11:07
我怎么打不开啊

作者: cwym29 时间: 2006-05-24 17:15
怎么会打不开呢？
去主站看看
www.csna.cn

作者: fanxiaonan 时间: 2006-05-26 20:18
说的方法异想天开，过于理论，在真正现网用这样的方法监控需要多强大的设备去做？无形中还在增加网络的流量。
监控nat后面主机数量和监控访问内容是两个不同实体在进行:
2.监控nat后面主机数量是运营商处于营业收入问题所用的手段，具体的方法是通过镜像的流量分析，分析的方法结合了tcp数据包的几个重要标记。具体的分析方法有算法进行，和ack seq ttl等有密切关系，如果学过tcp/ip的应该很快就会明白，ack seq号的位数是有规律的，如果多台机器用一个ip上网，ack seq号跨越幅度很大。一下就看出有拖了多少机器了。
2.监控内容是有专门的安全部门进行审查，方法也是通过镜像过滤流量，这些设备对流量有还原能力和条件判断，当发现你的ip进行涉及安全内容的通信，即可会向各运营商互联和国际出口路由器广播这个ip地址的32位掩码的黑洞路由，一段时间后会自动解除。这个内容审查没有什么难度，主要就是做数据包重组、内容还原和条件过滤。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)