案例分析 - 网页访问监控原理分析.docVIP

案例分析 - 电信网页访问监控NAT网关内部的电脑主机数，而且能够记录里面任何人的上网记录，听得我是心痒痒的，可问他方法，他又死活不说，郁闷。今天比较闲，脑袋里又想起了这事，想来想去，认为电信很可能采用欺骗客户端的方法，让客户端的信息首先发到监控主机，然后再发到目标服务器。 为证实推是否，做了实验打开机器上的科来网络分析系统。 添加一个图1所示的过滤器，只捕获我的机器（192.168.0.）网关以及外网的数据通讯 （图1　设置过滤器） 为减少数据干扰，在关闭本机上运用的其它应用程序后，开始捕获。 在本机上访问一个网，这访问 在页面出来后，停止捕获，并开始分析系统捕获到的数据包。 此次网页访问系统共捕获到了22个数据包，原始数据包的列表如图2所示。 （图2　原始数据包列表） 从图2中可知，编号1,2,3的数据包是TCP的三次握手数据包，第4个数据包是客户端8发起的HTTP GET请求，后面是服务器端的返回数据。从这些数据包来看，感觉通讯是正常的，于是切换到矩阵视图，查看通讯的节点情况，如图3。 （图3　访问的矩阵图） 在图3中，发现了一个奇怪的地址02，由于我此次的操作仅仅只访问了，所以是不应该出现这个地址的。这个02引起了我的注意，会不会这个地址在作怪呢？ 再切换到数据包视图，发现客户端（8）的确存在和02的通讯。 奇怪了，为什么8会主动和02进行通讯呢，会不会是有人在