返回
电信网页访问监控原理分析

电信网页访问监控原理分析

ID:16459948

大小:325.50 KB

页数:10页

时间:2018-08-10

电信网页访问监控原理分析_第1页
电信网页访问监控原理分析_第2页
电信网页访问监控原理分析_第3页
电信网页访问监控原理分析_第4页
电信网页访问监控原理分析_第5页
资源描述:

《电信网页访问监控原理分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、电信网页访问监控原理分析案例分析-电信网页访问监控原理分析近段时间,一个在电信上班的朋友经常说,他们有办法知道一个NAT网关内部的电脑主机数,而且能够记录里面任何人的上网记录,听得我是心痒痒的,可问他方法,他又死活不说,郁闷。今天比较闲,脑袋里又想起了这事,想来想去,认为电信很可能采用欺骗客户端的方法,让客户端的信息首先发到监控主机,然后再发到目标服务器。为证实推断是否合理,抱着试试的心态,立即在自己的机器上做了以下实验,步骤如下:1.打开机器上的科来网络分析系统。2.添加一个图1所示的过滤器,为的是只捕获我的机器(192.168.0.

2、88)和网关(00:D0:41:26:3F:9E)以及外网的数据通讯,即不捕获我与内部网之间的通讯。(图1 设置过滤器)3.为减少数据干扰,在关闭本机上运用的其它应用程序后,开始捕获。成都科来软件有限公司电话:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn传真:028-85120911support@colasoft.com.cn10/10       电信网页访问监控原理分析1.在本机上访问一个网页,这里以访问www.colasoft.com为例。2.

3、在页面出来后,停止捕获,并开始分析系统捕获到的数据包。3.此次网页访问系统共捕获到了22个数据包,原始数据包的列表如图2所示。(图2 原始数据包列表)从图2中可知,编号1,2,3的数据包是TCP的三次握手数据包,第4个数据包是客户端192.168.0.88发起的HTTPGET请求,后面是服务器端的返回数据。从这些数据包来看,感觉通讯是正常的,于是切换到矩阵视图,查看通讯的节点情况,如图3。成都科来软件有限公司电话:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com

4、.cn传真:028-85120911support@colasoft.com.cn10/10       电信网页访问监控原理分析(图3 访问www.colasoft.com的矩阵图)在图3中,发现了一个奇怪的地址220.167.29.102,由于我此次的操作仅仅只访问了www.colasoft.com,所以是不应该出现这个地址的。这个220.167.29.102引起了我的注意,会不会这个地址在作怪呢?1.再切换到数据包视图,发现客户端(192.168.0.88)的确存在和220.167.29.102的通讯。奇怪了,为什么192.168

5、.0.88会主动和220.167.29.102进行通讯呢,会不会是有人在伪造数据包呢?为确定是否存在伪造数据包的情况,我强制显示数据包的IP层摘要信息,在图2所示的数据包视图中,单击右键,在弹出的菜单中选择“数据包摘要->IP摘要”,查看这些数据包IP层的信息,如图4。成都科来软件有限公司电话:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn传真:028-85120911support@colasoft.com.cn10/10       电信网页访问监控

6、原理分析(图4 通过IP层摘要查看220.167.29.102的伪造数据包)从图4可知,TCP三次握手的服务器返回数据包(编号2)的生存时间是48,而第5个数据包的生存时间却是119,同一个服务器返回的两个数据包生存时间差别如此之大,表示它们经过的路由存在较大的差异,这与正常通讯的状态明显不符,由此我们怀疑编号为5的数据包可能是某个主机伪造的。查看该数据包的解码(图4中间,红色圈住部份),发现该数据包是由220.267.29.102发起的,这表示220.267.29.102主动向192.168.0.88发起了一个欺骗数据包,双击第5个数

7、据包,打开该数据包的详细解码窗口,如图5。成都科来软件有限公司电话:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn传真:028-85120911support@colasoft.com.cn10/10       电信网页访问监控原理分析(图5 220.167.29.102伪造的数据包的详细解码信息)从图5解码信息中可知,该数据包的TCP标记中,同时将确认位、急迫位、终止位置为1,这表示这个数据包想急于关闭连接,以防止客户端(192.168.0.88)收

8、到服务器(www.colasoft.com)的正常响应,它这样做的目的是获取客户端(192.168.0.88)传输的数据信息,其获得的信息如图4中的右下角红色圈住部份,这是一个base64的编码信息,其具体

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。