【转帖】揭密电信如何监控一个NAT网关内部的电脑主机数

maswsh

近段时间，一个在电信上班的朋友经常说，他们有办法知道一个NAT网关内部的电脑主机数，而且能够记录里面任何人的上网记录，听得我是心痒痒的，可问他方法，他又死活不说，郁闷。今天比较闲，脑袋里又想起了这事，想来想去，认为电信很可能采用欺骗客户端的方法，让客户端的信息首先发到监控主机，然后再发到目标服务器。
为证实推断是否合理，抱着试试的心态，立即在自己的机器上做了以下实验，步骤如下：
1.打开机器上的科来网络分析系统。
2.添加一个图1所示的过滤器，为的是只捕获我的机器（192.168.0.88）和网关（00: D0:41:26:3F:9E）以及外网的数据通讯，即不捕获我与内部网之间的通讯。


（图1　设置过滤器）
3.为减少数据干扰，在关闭本机上运用的其它应用程序后，开始捕获。
4.在本机上访问一个网页，这里以访问www.colasoft.com为例。
5.在页面出来后，停止捕获，并开始分析系统捕获到的数据包。
6.此次网页访问系统共捕获到了22个数据包，原始数据包的列表如图2所示。

（图2　原始数据包列表）
从图2中可知，编号1,2,3的数据包是TCP的三次握手数据包，第4个数据包是客户端192.168.0.88发起的HTTP GET请求，后面是服务器端的返回数据。从这些数据包来看，感觉通讯是正常的，于是切换到矩阵视图，查看通讯的节点情况，如图3。

（图3　访问www.colasoft.com的矩阵图）
在图3中，发现了一个奇怪的地址220.167.29.102，由于我此次的操作仅仅只访问了www.colasoft.com，所以是不应该出现这个地址的。这个220.167.29.102引起了我的注意，会不会这个地址在作怪呢？
7.再切换到数据包视图，发现客户端（192.168.0.88）的确存在和220.167.29.102的通讯。
奇怪了，为什么192.168.0.88会主动和220.167.29.102进行通讯呢，会不会是有人在伪造数据包呢？为确定是否存在伪造数据包的情况，我强制显示数据包的IP层摘要信息，在图2所示的数据包视图中，单击右键，在弹出的菜单中选择“数据包摘要->IP摘要”，查看这些数据包IP层的信息，如图4。


（图4　通过IP层摘要查看220.167.29.102的伪造数据包）
从图4可知，TCP三次握手的服务器返回数据包（编号2）的生存时间是48，而第5个数据包的生存时间却是119，同一个服务器返回的两个数据包生存时间差别如此之大，表示它们经过的路由存在较大的差异，这与正常通讯的状态明显不符，由此我们怀疑编号为5的数据包可能是某个主机伪造的。
查看该数据包的解码（图4中间，红色圈住部份），发现该数据包是由220.267.29.102发起的，这表示220.267.29.102主动向192.168.0.88发起了一个欺骗数据包，双击第5个数据包，打开该数据包的详细解码窗口，如图5。

（图5　220.167.29.102伪造的数据包的详细解码信息）
从图5解码信息中可知，该数据包的TCP标记中，同时将确认位、急迫位、终止位置为1，这表示这个数据包想急于关闭连接，以防止客户端（192.168.0.88）收到服务器（www.colasoft.com）的正常响应，它这样做的目的是获取客户端（192.168.0.88）传输的数据信息，其获得的信息如图4中的右下角红色圈住部份，这是一个base64的编码信息，其具体的信息我会在后面进行详细说明。
8.由于客户端（192.168.0.88）被220.167.29.102伪造的数据包5欺骗，所以它向服务器（www.colasoft.com）确认并发送一个关闭连接请求的数据包，也就是第6和第7这两个数据包
9.第9和第10这两个数据包，也是220.167.29.102伪造的重置连接数据包，它的目的是欺骗客户端（192.168.0.88）关闭连接。
10.接着，客户端（192.168.0.88）主动向220.167.29.102发起TCP的三次握手，即第8,11,12这三个数据包，以和220.167.29.102建立连接。
11.13,14,15,17这几个数据包，是客户端（192.168.0.88）和220.167.29.102之间的数据通讯。从第15这个数据包的解码中，可以清楚地看到220.167.29.102将重新将访问重定向到www.colasoft.com，从而让客户端（192.168.0.88）向www.colasoft.com再次发起页面访问请求，以让客户端（192.168.0.88）完成正常的网页访问，其解码如图6。


（图6　220.167.29.102向192.168.0.88发起的数据包）
12.        16,18,19是客户端（192.168.0.88）向服务器（www.colasoft.com）发起三次握手数据包。
13.        20,21,22是三次握手成功后，客户端和服务器正常的HTTP通讯数据包，也就是传递客户端所请求的页面，这里是www.colasoft.com。
14.        查看会话，选择TCP，发现此次的网页访问共连接起了3个连接，如图7。这三个连接的TCP流重组信息分别如图7,8,9，通过流的重组信息，我们也可以较为清楚地看到客户端和服务器（www.colasoft.com），以及客户端和220.167.29.102之间的数据通讯信息。

（图7　此次网页访问产生的三个TCP连接及第一个连接的TCP流信息）
图7中，客户端（192.168.0.88）向www.colasoft.com发起GET请求，但从服务器端返回的数据可知，返回服务器是220.167.29.102，且带了一串base64编码的参数， “ABcHJvdmluY2VpZD04Jm随机删除部份MTIwNDExJnNvdXJjZXVybD13d3cuY29sYXNvZnQuY29tLw==”，
对其进行反编译后的内容如下：“provinceid=8&cityid=2&classid=1000541&username=adsl拨号用名&sourceurl=www.colasoft.com/”
注意：上面的红色删除部份和adsl拨号用户名已经过笔者更改。
这里很清楚了吧，220.167.29.102主动欺骗客户端让客户端告诉220.167.29.102自己的相关信息。客户端在收到此请求后，由于不知道被欺骗，所以它会立即主动和220.167.29.102建立连接，并发送相关信息给220.167.29.102，从而导致信息被电信监控，让电信可以轻易的知道我们的网页访问情况。


（图8　220.167.29.102欺骗客户端的TCP流信息）
图8即客户端（192.168.0.88）主动向220.167.29.102发起的连接，并告知其相应的信息。在图中的下面我们可以看到，220.167.29.102在收到相应的信息后，再次强客户端的请求重定向到www.coalsoft.com，即用户需要访问的页面。

（图9　客户端和www.colasoft.com第二次连接的TCP流信息）
图9即是客户端在被220.167.29.102欺骗后，再次向www.colasoft.com发起GET请求，且服务器正常返回数据的信息，这让电信在不知不觉中完成了对用户网页访问的监控。

至此，访问www.colasoft.com的过程全部分析完毕。从该分析中，我们明白了电信监控我们普通用户访问网页的具体方法，其访问流程如图10所示。

（图10　客户端实际的访问流程图）
1.客户端主机（192.168.0.88）向www.colasoft.com发起正常的访问网页请求。
2.监控服务器（这里是220.167.29.102，不同地方该服务器可能不同）就立刻向客户端发起一个伪造数据包，这个数据包的源地址被伪造成客户端请求的服务器地址，同时该数据包的内容是预先设定好的。
3.客户端主机在收到该数据包后，以为是服务器端返回的，于是它根据收到的伪造数据包的要求，主动向220.167.29.102发起连接，并向220.167.29.102传输一些客户端的私人敏感信息，如客户端的拨号用户名、访问的网址、NAT内网主机数等信息。
4.220.167.29.102再次将访问重定向的指令发给192.168.0.88。
5.客户端根据第4步中收到的指令，再次向www.colasoft.com发起正常的访问网页请求。
6.www.coalsoft.com将客户端请求的页面传给客户端（192.168.0.88），让客户端成功完成网页访问。
以上便是电信网页访问监控原理的简单分析过程，注意实验的环境是内部通过NAT方式，并使用ADSL拨号上网，对于其它的连接方式以及其它的ISP接入，由于没有相应的环境，并未进行测试。

sky520cj

搬个板凳坐着顶你的肺。。。。

很不错。学习一下。有软件地址吗？

maswsh

ＬＳ的朋友软件地址给你
http://www.colasoft.com.cn/

sky520cj

好像最新的是6。7的。可以在线申请激活。。我已经搞定了。在尝试中。谢谢

枫之扬

分析出来了，怎么样避免被电信监控没有说哦，，，，

sky520cj

这个有待研究呀。。

zb0502

这么试一下
照葫芦画瓢，找出你所在地区的那台电信监控服务器IP，加入你的NAT主机防火墙列表，屏蔽之

zlq125

LS如果屏蔽了还能正常访问所上的网站吗？

yourfrishen

唉 到处都是下三烂手段对付消费者

altair

看看微软的安全更新：http://www.microsoft.com/china/t ... letin/ms08-020.mspx
微软说：

QUOTE:

在发布此安全公告时，Microsoft 是否收到任何有关此漏洞已被利用的报告？
否。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息，也没有看到任何发布的概念代码证明示例。

我朝电信就是牛！智慧都用在这个上面了。
btw：这个除了能反馈一些用户数等敏感信息，另一个重要用途是用来弹出广告，极其恶心，我截了个图

[ Edited by  altair on 2008-6-6 02:55 ]

sinfire

顶他个肺，就是说监控无所谓，但要是按照流量收费我们岂不是白白交了不少银子。

yfy

这个好,学习了,共同抵制不正当行为!

小松鼠

QUOTE:

Posted by altair on 2008-6-6 02:52
看看微软的安全更新：http://www.microsoft.com/china/t ... letin/ms08-020.mspx
微软说：
我朝电信就是牛！智慧都用在这个上面了。
btw：这个除了能反馈一些用户数等敏感信息，另一个重要用 ...

向信息产业部投诉，可以解决的！！

stsunrise

很强很深奥，外行一个路过ing……

zb0502

所以我在7楼说了先试一下，能不能起作用还得看电信那边的机制
还有个办法，走 VPN

niq_leon

总比铁通好啊，原本2m的线路，续费后硬变512k了。

Su27K

从哪转贴的？（有些问题还是问原作者比较好）

嘿嘿嘿嘿

此番分析仍然不能得到有力证据。

我用VM呢？电信不会连VM都不给用吧？

电信不相信？来看现场嘛。。。。。。来了再说。

许电信耍牛B，就不许我耍赖拉？本来就是霸王条款。哎~~一家独大的后果。


不过楼主到是提醒了我有这样一种监听方式。   现在广西南宁的电信就是这么干的，第一次打开HTTP应用就被DNS重定向了，定向到它的广告页面。我以为是做广告，看了这个东西，才明白原来还有这个作用，恩，修改防火墙策略先。

[ Edited by  嘿嘿嘿嘿 on 2008-6-6 11:53 ]

maswsh

QUOTE:

Posted by Su27K on 2008-6-6 11:37
从哪转贴的？（有些问题还是问原作者比较好）

http://www.csna.cn/viewthread.php?tid=68

zimo1029

恩 学习下 呵呵

tonykian

恩   不错  学习了

cyzokok

哎电信有钱不升级宽带服务器提高服务质量，设这么个东西浪费资源，净掐客户脖子。。。

mamore

hehe 专业人士阅过 不是怎么麻烦的
都是硬件在2-7层分析完成的，广告跳出的问题是在bras上用户分配完ip后就下发http redirect 不管你打开哪个，跳出的就是广告

aplix

楼主很专业！佩服。

lxt8848

有什么大惊小怪的！！
楼主你这只是一个普通的抓包软件
不要再卖什么官子了
监控NAT内网
只有在同一个VLAN下可以进行的！~~~

diomandcold

原来看过一个类似的分析

winniejoe

知道电信在监控，前几个月弹出广告，打电话让取消了。
电信监控很正常的，那个国家的运营商不监控呢？

monkey243

发觉电信的此监控服务器可以远程桌面，大家一起来把它破了！！！

limonet

呵呵，大家破吧，破了大家看看是否有值得的东东。