DOC《案例分析 - 电信网页访问监控原理分析》

cityid=2&

classid=1000541&

username=adsl拨号用名&

sourceurl=www.colasoft.com/ 注意:上面的红色删除部份和adsl拨号用户名已经过笔者更改. 这里很清楚了吧,220.167.29.102主动欺骗客户端让客户端告诉220.167.29.102自己的相关信息.客户端在收到此请求后,由于不知道被欺骗,所以它会立即主动和220.167.29.102建立连接,并发送相关信息给220.167.29.102,从而导致信息被电信监控,让电信可以轻易的知道我们的网页访问情况. (图8 220.167.29.102欺骗客户端的TCP流信息) 图8即客户端(192.168.0.88)主动向220.167.29.102发起的连接,并告知其相应的信息.在图中的下面我们可以看到,220.167.29.102在收到相应的信息后,再次强客户端的请求重定向到www.coalsoft.com,即用户需要访问的页面. (图9 客户端和www.colasoft.com第二次连接的TCP流信息) 图9即是客户端在被220.167.29.102欺骗后,再次向www.colasoft.com发起GET请求,且服务器正常返回数据的信息,这让电信在不知不觉中完成了对用户网页访问的监控. 至此,访问www.colasoft.com的过程全部分析完毕.从该分析中,我们明白了电信监控我们普通用户访问网页的具体方法,其方法如下: 由于客户端访问外网时都要经过电信的出口,所以当客户端访问某网页时,电信通过技术手段通知监控服务器某个客户端在对外进行访问,监控服务器(这里是220.167.29.102,不同地方该服务器可能不同)就立刻向客户端发起一个伪造数据包,这个数据包的源地址被伪造成客户端请求的服务器地址,同时该数据包的内容是预先设定好的. 客户端主机在收到该数据包后,以为是服务器端返回的,于是它根据收到的伪造数据包的要求,主动和监控服务器建立连接,并向其传输一些客户端的私人敏感信息,如客户端的拨号用户名、访问的网址、NAT内网主机数等信息;

监控服务器在接收了客户端的信息后,再通过向客户端发送特定的数据包,将访问重定向到客户端所请求的服务器端,从而让客户端完成正常的网页访问;

以上便是电信网页访问监控原理的简单分析过程,注意实验的环境是内部通过NAT方式,并使用ADSL拨号上网,对于其它的连接方式以及其它的ISP接入,由于没有相应的环境,并未进行测试. 成都科来软件有限公司 www.colasoft.ocm.cn 2006年6月 ........