[转帖]电信网页访问监控原理分析！

cwym29

转自：CSNA网络分析论坛  关键字：电信　监控　网络　分析　科来\r\n\r\n近段时间，一个在电信上班的朋友经常说，他们有办法知道一个NAT网关内部的电脑主机数，而且能够记录里面任何人的上网记录，听得我是心痒痒的，可问他方法，他又死活不说，郁闷。今天比较闲，脑袋里又想起了这事，想来想去，认为电信很可能采用欺骗客户端的方法，让客户端的信息首先发到监控主机，然后再发到目标服务器。\r\n为证实推断是否合理，抱着试试的心态，立即在自己的机器上做了以下实验，步骤如下：\r\n1.打开机器上的科来网络分析系统。\r\n2.添加一个图1所示的过滤器，为的是只捕获我的机器（192.168.0.88）和网关（00: D0:41:26:3F:9E）以及外网的数据通讯，即不捕获我与内部网之间的通讯。\r\n\r\n\r\n由于文章较长，所以没有全部贴完，完整的内容详见http://www.csna.cn/viewthread.php?tid=68。

cwym29

怎么会打不开呢？\r\n去主站看看\r\nwww.csna.cn

fanxiaonan

说的方法异想天开，过于理论，在真正现网用这样的方法监控需要多强大的设备去做？无形中还在增加网络的流量。\r\n监控nat后面主机数量和监控访问内容是两个不同实体在进行:\r\n2.监控nat后面主机数量是运营商处于营业收入问题所用的手段，具体的方法是通过镜像的流量分析，分析的方法结合了tcp数据包的几个重要标记。具体的分析方法有算法进行，和ack seq ttl等有密切关系，如果学过tcp/ip的应该很快就会明白，ack seq号的位数是有规律的，如果多台机器用一个ip上网，ack seq号跨越幅度很大。一下就看出有拖了多少机器了。\r\n2.监控内容是有专门的安全部门进行审查，方法也是通过镜像过滤流量，这些设备对流量有还原能力和条件判断，当发现你的ip进行涉及安全内容的通信，即可会向各运营商互联和国际出口路由器广播这个ip地址的32位掩码的黑洞路由，一段时间后会自动解除。这个内容审查没有什么难度，主要就是做数据包重组、内容还原和条件过滤。