電信網頁訪問監控原理分析
近段時間,一個在電信上班的朋友經常說,他們有辦法知道一個NAT 網關內部的電腦主機
數,而且能夠記錄里面任何人的上網記錄,聽得我是心癢癢的,可問他方法,他又死活不說,
郁悶。今天比較閑,腦袋里又想起了這事,想來想去,認為電信很可能采用欺騙客戶端的方
法,讓客戶端的信息首先發到監控主機,然后再發到目標服務器。
為證實推斷是否合理,抱著試試的心態,立即在自己的機器上做了以下實驗,步驟如下:
1. 打開機器上的科來網絡分析系統。
2. 添加一個圖1 所示的過濾器,為的是只捕獲我的機器(192.168.0.88)和網關
(00:D0:41:26:3F:9E)以及外網的數據通訊,即不捕獲我與內部網之間的通訊。
(圖1 設置過濾器)
3. 為減少數據干擾,在關閉本機上運用的其它應用程序后,開始捕獲。
4. 在本機上訪問一個網頁,這里以訪問www.colasoft.com 為例。
5. 在頁面出來后,停止捕獲,并開始分析系統捕獲到的數據包。
6. 此次網頁訪問系統共捕獲到了22 個數據包,原始數據包的列表如圖2 所示。
(圖2 原始數據包列表)
從圖2 中可知,編號1,2,3 的數據包是TCP 的三次握手數據包,第4 個數據包是客戶端
192.168.0.88 發起的HTTP GET 請求,后面是服務器端的返回數據。從這些數據包來看,
感覺通訊是正常的,于是切換到矩陣視圖,查看通訊的節點情況,如圖3。
(圖3 訪問www.colasoft.com 的矩陣圖)
在圖3 中,發現了一個奇怪的地址220.167.29.102,由于我此次的操作僅僅只訪問了
www.colasoft.com,所以是不應該出現這個地址的。這個220.167.29.102 引起了我的
注意,會不會這個地址在作怪呢?
7. 再切換到數據包視圖,發現客戶端(192.168.0.88)的確存在和220.167.29.102
的通訊。
奇怪了,為什么192.168.0.88 會主動和220.167.29.102 進行通訊呢,會不會是有人在
偽造數據包呢?為確定是否存在偽造數據包的情況,我強制顯示數據包的IP 層摘要信息,
在圖2 所示的數據包視圖中,單擊右鍵,在彈出的菜單中選擇“數據包摘要->IP 摘要”,
查看這些數據包IP 層的信息,如圖4。
(圖4 通過IP 層摘要查看220.167.29.102 的偽造數據包)
從圖4 可知,TCP 三次握手的服務器返回數據包(編號2)的生存時間是48,而第5 個數
據包的生存時間卻是119,同一個服務器返回的兩個數據包生存時間差別如此之大,表示
它們經過的路由存在較大的差異,這與正常通訊的狀態明顯不符,由此我們懷疑編號為5
的數據包可能是某個主機偽造的。
查看該數據包的解碼(圖4中間,紅色圈住部份),發現該數據包是由220.267.29.102發
起的,這表示220.267.29.102主動向192.168.0.88發起了一個欺騙數據包,雙擊第5個
數據包,打開該數據包的詳細解碼窗口,如圖5。
(圖5 220.167.29.102 偽造的數據包的詳細解碼信息)
從圖5解碼信息中可知,該數據包的TCP標記中,同時將確認位、急迫位、終止位置為1,
這表示這個數據包想急于關閉連接,以防止客戶端(192.168.0.88)收到服務器
(www.colasoft.com)的正常響應,它這樣做的目的是獲取客戶端(192.168.0.88)傳
輸的數據信息,其獲得的信息如圖4中的右下角紅色圈住部份,這是一個base64的編碼信
息,其具體的信息我會在后面進行詳細說明。
8. 由于客戶端(192.168.0.88)被220.167.29.102 偽造的數據包5 欺騙,所以它向
服務器(www.colasoft.com)確認并發送一個關閉連接請求的數據包,也就是第6
和第7 這兩個數據包
9. 第9 和第10 這兩個數據包,也是220.167.29.102 偽造的重置連接數據包,它的目
的是欺騙客戶端(192.168.0.88)關閉連接。
10. 接著,客戶端(192.168.0.88)主動向220.167.29.102 發起TCP 的三次握手,即
第8,11,12 這三個數據包,以和220.167.29.102 建立連接。
11. 13,14,15,17 這幾個數據包,是客戶端(192.168.0.88)和220.167.29.102 之間
的數據通訊。從第15 這個數據包的解碼中,可以清楚地看到220.167.29.102 將重
新將訪問重定向到www.colasoft.com,從而讓客戶端( 192.168.0.88 ) 向
www.colasoft.com 再次發起頁面訪問請求,以讓客戶端(192.168.0.88)完成正
常的網頁訪問,其解碼如圖6。
(圖6 220.167.29.102 向192.168.0.88 發起的數據包)
12. 16,18,19 是客戶端(192.168.0.88)向服務器(www.colasoft.com)發起三次握
手數據包。
13. 20,21,22 是三次握手成功后,客戶端和服務器正常的HTTP 通訊數據包,也就是傳遞
客戶端所請求的頁面,這里是www.colasoft.com。
14. 查看會話,選擇TCP,發現此次的網頁訪問共連接起了3 個連接,如圖7。這三個連
接的TCP 流重組信息分別如圖7,8,9,通過流的重組信息,我們也可以較為清楚地看
到客戶端和服務器(www.colasoft.com),以及客戶端和220.167.29.102 之間的
數據通訊信息。
(圖7 此次網頁訪問產生的三個TCP 連接及第一個連接的TCP 流信息)
圖7中,客戶端(192.168.0.88)向www.colasoft.com發起GET請求,但從服務器端返
回的數據可知,返回服務器是220.167.29.102,且帶了一串base64編碼的參數,
“ABcHJvdmluY2VpZD04Jm隨機刪除部份
MTIwNDExJnNvdXJjZXVybD13d3cuY29sYXNvZnQuY29tLw==”,
對其進行反編譯后的內容如下:
“provinceid=8&cityid=2&classid=1000541&username=adsl撥號用名
&sourceurl=www.colasoft.com/”
注意:上面的紅色刪除部份和adsl撥號用戶名已經過筆者更改。
這里很清楚了吧,220.167.29.102 主動欺騙客戶端讓客戶端告訴220.167.29.102 自己
的相關信息。客戶端在收到此請求后, 由于不知道被欺騙, 所以它會立即主動和
220.167.29.102 建立連接,并發送相關信息給220.167.29.102,從而導致信息被電信
監控,讓電信可以輕易的知道我們的網頁訪問情況。
(圖8 220.167.29.102 欺騙客戶端的TCP 流信息)
圖8 即客戶端(192.168.0.88)主動向220.167.29.102 發起的連接,并告知其相應的
信息。在圖中的下面我們可以看到,220.167.29.102 在收到相應的信息后,再次強客戶
端的請求重定向到www.coalsoft.com,即用戶需要訪問的頁面。
(圖9 客戶端和www.colasoft.com 第二次連接的TCP 流信息)
圖9 即是客戶端在被220.167.29.102 欺騙后,再次向www.colasoft.com 發起GET 請
求,且服務器正常返回數據的信息,這讓電信在不知不覺中完成了對用戶網頁訪問的監控。
至此,訪問www.colasoft.com 的過程全部分析完畢。從該分析中,我們明白了電信監控
我們普通用戶訪問網頁的具體方法,其訪問流程如圖10 所示。
(圖10 客戶端實際的訪問流程圖)
1. 客戶端主機(192.168.0.88)向www.colasoft.com 發起正常的訪問網頁請求。
2. 監控服務器(這里是220.167.29.102,不同地方該服務器可能不同)就立刻向客戶
端發起一個偽造數據包,這個數據包的源地址被偽造成客戶端請求的服務器地址,同時
該數據包的內容是預先設定好的。
3. 客戶端主機在收到該數據包后,以為是服務器端返回的,于是它根據收到的偽造數據包
的要求,主動向220.167.29.102 發起連接,并向220.167.29.102 傳輸一些客戶
端的私人敏感信息,如客戶端的撥號用戶名、訪問的網址、NAT 內網主機數等信息。
4. 220.167.29.102 再次將訪問重定向的指令發給192.168.0.88。
5. 客戶端根據第4 步中收到的指令,再次向www.colasoft.com 發起正常的訪問網頁請
求。
6. www.coalsoft.com 將客戶端請求的頁面傳給客戶端(192.168.0.88),讓客戶端成
功完成網頁訪問。
以上便是電信網頁訪問監控原理的簡單分析過程,注意實驗的環境是內部通過NAT 方式,
并使用ADSL 撥號上網,對于其它的連接方式以及其它的ISP 接入,由于沒有相應的環境,
并未進行測試。
CSNA 網絡分析論壇 菜鳥人飛
2006 年4 月21 日