首页 > 动态中心 > 技术文章  >  正文

公司悄悄部署了一个东西,盯着你···

2023-06-15 00:00:00

文章摘要:这个网络中所有人的上网内容我都看的清清楚楚,是不是很可怕?我就是传说中的上网行为监控软件。可以对企业局域网电脑进行监控。可以监控到上网记录,聊天记录,邮件记录,外发文件记录,还可以自动录制屏幕快照!【编辑推荐:企业员工电脑如何监控?】我被一家公司老板买来运行在一个配置极高的 Linux 服务器上,这台服务器上的网卡可不得了,公司进出的网络数据包都得流经它,它源源不断的把数据包抓上来交给我来分析。你

这个网络中所有人的上网内容我都看的清清楚楚,是不是很可怕?我就是传说中的上网行为监控软件。可以对企业局域网电脑进行监控。可以监控到上网记录,聊天记录,邮件记录,外发文件记录,还可以自动录制屏幕快照!
【编辑推荐:企业员工电脑如何监控?

我被一家公司老板买来运行在一个配置极高的 Linux 服务器上,这台服务器上的网卡可不得了,公司进出的网络数据包都得流经它,它源源不断的把数据包抓上来交给我来分析。

你们应该也知道,网络通信是分层的,最常见的就是那个 TCP/IP 协议体系了。

拿到数据包后,我就得按照这个协议规范,一层层的脱去协议的外壳,拿到它们的负载数据。

TCP 会话重组

我重点要照顾的是 TCP 协议,因为好多应用都要使用 TCP 来传输,像上网冲浪 HTTP、发邮件 SMTP、微信聊天等等。

我想要掌控网络中的通信,第一个就要拿 TCP 开刀,得想办法把 TCP 传输的一个个数据包给重组起来,形成一个完整的会话,这样我才好知道应用层传了什么东西,这个步骤叫做会话重组。

不过这个 TCP 协议有点复杂,抛开我们抓到的包本来就存在乱序的情况不说,它本身还有三次握手、四次挥手、超时重传、延迟回复等很多机制。

有时候还会遇到时间跨度很久的长连接,这无疑都给我想要重组 TCP 会话造成了很大的难度。

而我重组 TCP 会话的唯一线索就是数据包包头中的序列号 SEQ 和确认号 ACK。

不过我还是死磕 RFC 规范,把这些问题都攻克了,能够成功重组出一个个的 TCP 会话数据,成功率还蛮高的。

应用协议识别

TCP 会话重组出来了,我就可以拿到里面传输的数据了。接下来要做的一件事就是识别应用层到底是什么应用在传输的呢?

用我们的行话说,那就是做应用协议识别,这个时候我就得看一下端口了。

我根据三次握手数据包的方向,就可以确定出谁是客户端,谁是服务端。

再看一下服务端的端口号(这个在 TCP 包头里面就可以看到),就能知道这是一个什么服务了。

像常见的有下面这些:

  • 22:SSH 远程登陆
  • 25:邮件服务
  • 53:域名解析服务
  • 80:HTTP Web 服务
  • 3306:MySQL 数据库服务
  • 3389:远程桌面连接服务
  • ······

最常见的就是 80 端口的 Web 服务了,人类每天上网都在用到。

有时候 Web 服务不走 80 端口,换成了别的,不过这难不倒我,我可以通过分析 TCP 的负载数据特征,看看有没有 HTTP 协议的特征出现,因为 HTTP 协议的特征实在是太明显啦!

到了后来,根据端口的经验出错的概率越来越大了,我就统一根据内容来进行识别判断,不再相信端口。

每个应用都有它们各自的协议特征,这个识别我可是下了点功夫,轻易不会透露。

文件还原

现在我知道应用层是什么协议了,我就可以把应用层协议传输的数据给整明白了。

还是拿最常见的 Web 服务来说吧,HTTP 协议是一个基于请求-响应的协议,比如下面的这一次通信:

请求是一个 GET 包,看请求的资源貌似是一张 JPG 图片。

再看响应包,状态码是 200 OK,看来没啥问题。再看看 Content-Type,image/jpeg,是个 JPG 图片没跑了。

现在我就可以定位到响应包的负载段,就是在 HTTP 头,两个回车换行(0D0A)后面就是数据了。

找到数据位置,再根据 Content-Length 的大小,把数据抠出来写成一个 PNG 格式的文件就大功告成了!

OMG,这是哪个血气方刚的小伙子又在看美女图片了!

上面这个把协议中传输的文件提取出来的过程叫做文件还原,除了 HTTP 协议,我还支持文件传输协议 FTP、邮件传输协议 SMTP、文件共享的 SMB 协议呢。

你们通过这些协议传输的文件,我都能给你还原出来,是不是很可怕?

HTTPS 解密

有一天,我发现 80 端口的数据包越来越少了,与此同时,443 端口的通信数据不知不觉多了起来。

后来才知道原来为了防止被我这样的网络中间人窥探隐私,他们都用上了一个叫 HTTPS 的技术。

HTTPS 把数据进行了加密传输,这样我拿到以后都是加密后的,没办法知道传输了什么内容。

不过这家公司的老板很聪明,他要求公司的员工电脑上都装上了一个“安全软件”。

美其名曰保护电脑不被入侵,实际上啊是在他们的电脑上做了一个中间人劫持,进行了 HTTPS 的证书替换(你不信可以看看这个:谁动了你的 HTTPS 流量?)。

这个“安全软件”作为中间人把 HTTPS 证书和密钥告诉我,我就可以解密 HTTPS 流量了!你们上网干了啥我还是能知道的一清二楚!

网络阻断

你以为我只能在一旁监听吗?图样!

要是你们访问那些敏感的网站,或者尝试把老板交代给我重点看护的数据偷偷传出去,那我就不只是看着那么简单了,这个时候我就要启动阻断功能。

为了不影响公司网络的运转,我一般都是旁路部署的,这样要是我哪天抽风遇到了 Bug,还可以立即把我撤下去。

这个所谓旁路部署呢,就是抓取的包都是一份拷贝,而不是通过我转发。

不过这样一来也给我阻断网络通信带来了一些麻烦,如果我是串联到网络中,那可就简单了,遇到那些可疑的网络连接我直接丢掉数据包,不转发出去就得了。

可现在我不是串联,而是旁路部署,怎么办呢?

聪明如我,怎么可能被这小小的问题难住?我可是深谙 TCP 协议的行家,在发现可疑的连接建立的时候,就将它掐灭在萌芽状态!

当我发现可疑的 SYN 数据包时,在服务端回复第二次握手包之前,以迅雷不及掩耳盗铃之势,用服务器 IP 的名义伪造一个 RST 的数据包给客户端,这样连接就被我掐断了!

这一招虽然不能保证百分之百成功,但我离客户端更近,我的伪造包一般都能比真正的服务端响应包早一步到达客户端,所以成功率还是蛮高的!

唉,说曹操,曹操就到!发现了一个可疑的连接来了,先不说了,我要去忙了~

彩蛋:悄悄告诉你们,上次公司 HR 给我导入了一批 URL 列表,让我重点关注下都是谁在访问非法网站。【转载:编程技术宇宙 作者:轩辕之风】

上一篇 : 公司电脑文件如何加密?如何给企业部署文件保密系统
  • 相关推荐
  • 公司用什么软件监控电脑?2024年电脑监控软件好物榜TOP10

    1、洞察眼MIT系统系统能够实时监控员工的电脑屏幕活动,包括网页浏览、应用程序使用、聊天内容等。支持多屏监控,确保无遗漏地记录员工的电脑使用情况。提供智能截屏功能,定期对屏幕进行截屏,并智能识别屏幕内容。还能够自动录制屏幕活动,确保管理者随时了解员工的工作状态。支持文件外发审批,并对外发的文件进行备份。提供泄密风险等级...

    2024-10-21 09:47:33
  • 公司想要防止文件泄密?公司防泄密,这六款软件让你高枕无忧!

    在数据泄露风险日益加剧的今天,企业防泄密已成为不可忽视的重要任务。为了保障公司机密信息的安全,我们精心挑选了六款高效的企业防泄密软件。这些软件各具特色,功能强大,能够有效监控和阻止文件泄密行为。有了它们的守护,您可以更加安心地专注于公司的业务发展,让数据安全不再是后顾之忧。1、洞察眼MIT系统提供文档透明加密功能,可以...

    2024-10-19 10:23:10
  • 公司想要电脑加密?企业电脑加密必备:八款精选软件大盘点

    在数字化时代,企业数据安全已成为不可忽视的重要议题。随着技术的不断进步,电脑加密软件成为了企业保护敏感信息、防止数据泄露的得力助手。本文精选了八款在2024年备受企业青睐的电脑加密软件,它们各具特色,功能强大,旨在为企业提供全方位、多层次的数据保护。接下来,让我们一起探索这些软件,为企业的数据安全保驾护航。1、洞察眼M...

    2024-10-18 10:07:40
  • 公司内网监控软件叫什么,优选推荐!六款公司内网监控神器

    在数字化办公日益盛行的今天,公司内网监控软件成为了企业保障信息安全和提升工作效率的得力助手。它们能够实时监控内部网络状态,有效防范数据泄露和非法操作。以下是优选推荐的六款公司内网监控神器,它们各具特色,功能强大,能够全面满足企业的监控需求。无论是大型企业还是中小型企业,都能在这里找到适合自己的监控软件。一、洞察眼MIT...

    2024-10-18 09:38:26
  • 如何禁用公司电脑上的USB接口?公司电脑USB接口禁用五个妙招

    在数字化办公日益普及的今天,公司电脑的数据安全显得尤为重要。USB接口作为数据传输的重要通道,一旦管理不善,就可能成为数据泄露的源头。因此,禁用公司电脑上的USB接口成为保障数据安全的有效手段。以下是五个妙招,旨在帮助企业轻松实现USB接口的禁用,确保公司信息资产的安全无虞。1、洞察眼MIT系统下载并安装该系统,确保所...

    2024-10-18 08:44:46
  • 实现公司成员聊天监控方法,告别私下闲聊!企业聊天监控四大妙招

    在信息化办公日益普及的今天,如何有效管理公司成员的聊天行为,防止私下闲聊影响工作效率和信息泄露,成为了企业管理的一大挑战。本文将为您揭秘四大妙招,助力企业实现聊天监控,确保沟通透明,提升管理效能。无论是即时通讯工具的全面监控,还是敏感信息的实时预警,这些妙招都将让企业管理者对员工的聊天行为了如指掌,助力企业稳健前行。一...

    2024-10-17 10:33:39
  • 公司即时通讯监控软件推荐六款,让你轻松掌握聊天记录!

    在数字化办公日益盛行的今天,公司即时通讯监控软件成为了企业管理中的重要一环。它不仅能帮助管理者实时掌握员工的沟通情况,还能有效预防敏感信息的泄露。以下是六款精心挑选的即时通讯监控软件,它们各具特色,功能强大,让你轻松掌握聊天记录,提升团队协作效率,同时确保企业信息安全无虞。1、洞察眼MIT系统系统能够实时监控员工的即时...

    2024-10-16 14:03:29
  • 公司电脑监控全攻略:2024年精选10款必备软件,干货整理

    在信息化高速发展的今天,企业数据的安全性和员工的工作效率成为了企业管理的重中之重。公司电脑作为信息处理和存储的核心设备,其监控与管理显得尤为重要。本攻略将为您深入剖析2024年精选的10款必备电脑监控软件,旨在帮助您更好地掌握科技力量,守护企业的未来。一、洞察眼MIT系统支持高清屏幕实时监控,管理者可以远程查看员工的电...

    2024-10-12 11:08:34
  • 如何防止公司文件外发?双重保障让公司文件机密无忧!

    在信息化高速发展的今天,公司文件的保密与安全已成为企业运营中不可忽视的重要环节。文件一旦外发,不仅可能泄露商业机密,还可能引发法律风险和声誉损害。为防止此类事件发生,企业需采取双重保障措施。双重保障,犹如铜墙铁壁,让公司文件机密无忧,为企业稳健前行提供坚实支撑。一、技术手段—洞察眼MIT系统该系统支持对企业内部的重要文...

    2024-10-12 09:52:33
  • 公司用什么软件监控电脑?这6款电脑监控软件不可少

    在数字化办公日益普及的今天,企业对于电脑监控软件的需求愈发迫切。为了保障信息安全、提升工作效率,选择一款合适的电脑监控软件显得尤为重要。本文将为您介绍六款不可或缺的电脑监控软件,它们各具特色,能够满足不同企业的监控需求。无论是实时监控、网络行为分析,还是数据备份与安全防护,这些软件都能为企业带来全方位的保障。1、洞察眼...

    2024-10-12 08:52:35

大家都在搜的词:

微信扫一扫联系售前工程师