你的所有网上活动尽在掌控——网络监控行为详解

作为一名学生，你大部分时间都在学校度过，手机流量往往不够，所以你必须使用校园网络。在使用校园网时，您是否发现有些网站无法访问，或者优酷、爱奇艺等应用无法观看视频、玩游戏？你可能认为这只是学校屏蔽了一些网站而已，没什么大不了的。但事情真的有那么简单吗？本期我们将详细讨论网络监控背后的工作原理。

事情还得从一则 *** 说起。 2021年11月16日，一篇国美批评员工上班钓鱼的报道登上微博热搜，引发网友热议。根据国美控股集团有限公司发布的《关于违反员工行为准则的处罚通知》，2021年8月30日至9月3日期间，国美总部对非工作流量进行统计调查后信息显示，发现部分员工在工作区域利用公司公共网络资源从事与工作无关的事情，如玩电脑游戏、上网聊天、听音乐等，公司对11名员工进行了相应通报和处罚。具体情况如图：

员工使用什么软件、流量多少、哪个楼层、哪个区域、叫什么名字，一目了然。

这让我想起了我自己的经历。使用校园网时，有些软件无法使用。例如百度网盘、爱奇艺、和平精英、王者荣耀等，具体表现是百度网盘、爱奇艺等应用打开后一直加载，就像断网一样，但学都通等软件可以正常使用当打开时。和平精英可以登录、签到、接收物品、下载更新。然而，一旦你开始进入游戏，你就会很快返回大厅。

校园网还设置了DNS白名单。只能是学校指定的DNS服务器，不能是其他的。之前尝试过更换DNS服务器，结果无法解析。这太多了。

还有一次，我的一个同学告诉我，他的电脑突然无法上网了。他周围的每个人都可以访问互联网，但他的电脑却不能。然后我们将网线插入另一台工作站的网口即可上网。这时我判断端口被阻塞了。后来我联系了网络科的老师解封，我又可以上网了。具体原因是检测到流量异常。老师没有具体解释，但我们推测是长时间使用迅雷下载导致异常被检测到然后被屏蔽。有些人深感困扰，如图：

既然我们知道有网络监控，那我们为什么还要监控呢？侵犯隐私？监控到什么程度？如何监控？可以绕过吗？下面将它们一一展开。

上网行为管理

除了学校，企业也受到监控。企业管理者想了解员工的工作表现。为了提高工作效率，他们不希望员工在公司电脑上做事或关注工作以外的事情。公司需要严格控制计算机的使用。工作时间禁止炒股、玩游戏、看电影、QQ聊天等。这在业内被称为“上网行为管理”。

当然，上网行为管理不仅仅是防止人们在工作中利用他人那么简单。其目的包括但不限于以下目的：

从这个角度来看，企业对计算机进行管理是非常有必要的。其主要目的一是保证信息安全，二是提高工作效率。综合以上几点，可以概括为以下场景：

带宽滥用：员工在工作时间使用不相关的应用（如P2P、流媒体），占用大量带宽。邮件发送、数据下载、视频会议等受到严重影响，导致公司核心业务无法保障；外部泄露：敏感数据/文件被随机向外分发，如个人隐私信息、组织机密信息、 *** 文件、红头文件等；没有监控预警，没有合规审计，没人知道谁是内幕人士；网络违法行为：利用组织网络在网上散布谣言、人身攻击、肆意发布反动、 *** 、 *** 信息，给企业、组织造成重大损失，已受到法律追究的；上网监管难：办公室沦为免费网吧，工作效率低下；先进的加密和代理技术，轻松绕过非法“内容”的管理和控制；同一应用功能有好有坏，管理与控制之间存在两难选择；业务行为不可见：员工访问业务系统时，销售人员的操作受到全面审核，导致操作失误或数据泄露无法追究责任。 ; 异常行为难以察觉：员工在访问业务系统时，可能会出现一些恶意或无意的行为，对业务系统造成损害，例如下载大量数据、爬取所有数据、执行删除、清除等敏感操作。

鉴于以上场景，可见企业实施上网行为管理是必要且合理的。

监测方法和范围

监控内网有两种方式，一种需要在电脑上安装客户端，另一种不需要安装。首先说一下需要安装客户端，这个往往监控非常严格。

以超眼监控为例。购买超级眼监控软件后，首先在老板或经理的电脑上安装“管理终端”，然后在员工的电脑上安装“员工终端”。安装“员工客户端”是一键安装，无需注册账户。安装完成后，重新启动计算机，软件将自动隐蔽运行。安装完成后，打开“管理终端”，输入账号和密码登录，软件会自动连接。点击“扫一扫”迅雷您的账号已被锁定，在软件界面左侧可以看到所有员工终端，包括在线员工终端和离线员工终端。如图所示：

这个过程很简单，但可以非常严格地监控。对于超级眼睛，您可以执行以下操作：

1.实时屏幕监控：屏幕监控、远程控制。可同时查看16幅图像，并可全屏查看和远程控制。

2、聊天记录监控：直接掌控聊天工具记录，了解员工工作状态。

3.电脑屏幕录制：将屏幕活动录制成MP4格式的视频。员工端的所有电脑在开机时都会自动录制屏幕，并可以保存在管理端，方便以后查看和回放。

4、限制程序运行：限制员工可以访问的程序和网页，规范上网行为，提高工作效率。

5、禁用USB接口：为了保护公司重要文件，可以将员工的U盘设置为不连接、不读、不写。

我们比较关心的是聊天记录的监控，这也是可以看到的。假设我们在QQ上聊天，聊天内容会被“管理端”记录下来，如图：

不仅是QQ，超级眼可以完整记录QQ、微信、TIM、企业微信、钉钉、MSN、Skype、阿里巴巴旺旺等软件工具的聊天记录。并以文字、图片、视频等形式分类保存在管理端。记录非常详细：

甚至还有键盘记录功能，您的每一次击键都会被记录下来。可以通过黑名单、白名单来设置屏蔽的网站、应用程序等，如图：

白名单是指只有列入白名单的网站才能访问，其他网站不能访问。黑名单是指写在名单上的不能访问，其他的可以访问。一般采用黑名单机制。

类似的产品还有很多，比如第三眼、超级眼、安冰网盾等等。第三只眼和超级眼的功能类似。他们基本上都是全方位的监控。以聊天记录监控为例。第三只眼的监控界面如下：

网页浏览历史如下图所示：

不仅是企业，学校也使用这些监控软件。例如，Third Eye的客户中有很多大学，如图：

安冰网盾的监控级别如下图所示：

这种需要安装客户端是一种比较变态的类型。一般来说，大多数公司和学校都不会这么做。他们会选择另一种不需要安装客户端的方法：路由器。有些公司称其为防火墙，但实际上几乎是一样的。您可以将防火墙视为路由器的增强版。一般来说，购买防火墙后，就不再需要购买路由器了。除非你是大中型企业，否则你会同时购买路由器和防火墙，以及双机热备份。注意这里的路由器不是家里连接WiFi的路由器。它看起来像这样：

这是一款思科路由器（防火墙），该型号的价格在4万元左右。生产硬件防火墙、企业级路由器、交换机等网络设备的知名企业有思科、华为、天融信、深信服等。目前国内使用较多的是天融信、深信服，而思科、华为的设备普遍较多。昂贵的。

一般在网关处设置防火墙，让所有流量都经过防火墙，这样就可以监控整个内网。如图所示：

防火墙对外防御各种黑客攻击，对内监控网络。这也是高校和企业常用的解决方案。

那么通过部署防火墙，我们不知道自己在做什么吗？

监控原理及绕过监控

上面的之一种方法比较简单，因为安装的客户端是以管理员权限运行的，相当于接管了你的电脑，就像之前的木马程序“灰鸽子”一样。至于绕过，这类监控软件安装后隐藏运行，不会显示在程序和功能列表中，很难被察觉。

但监控软件必须一直在运行，任务管理器的进程列表中总会有痕迹。然而，此类进程往往经过处理和伪装，并且需要操作系统的专门知识，否则无法识别。出来。另外，即使你知道是哪个进程，你仍然需要相应的权限才能杀死该进程。如果公司给你的账户有管理员权限，那么你可以结束它，这样就不会被监控了。如果不行，也可以通过PE格式化硬盘，然后重新安装系统。这样监控软件就100%清除了。但不推荐这种方式，因为本地监控木马会实时向服务器报告状态。如果直接重新安装，合法的木马就消失了。从管理员的角度来看，你的机器将始终处于关闭或离线状态，然后另一个木马将被传递并警告你。

所以合理的做法是安装双系统。当您想钓鱼时，切换到另一个系统，完成后再切换回来。

我们主要通过部署防火墙来分析监控，这也是高校和企业常用的方法。

上一期提到，访问互联网主要有三大要素：DNS、DHCP、网关。网络数据包（IP报文）需要经过交换机、路由器、防火墙，最终进入外部网络。由于上网时需要进行DNS解析来浏览网站，因此浏览历史记录会被记录，但事实并非如此，因为DNS解析记录是缓存在本地的，甚至可以手动添加，所以无法通过监控来监控上网记录依赖 DNS。但防火墙具有NAT和应用层协议识别功能，发送的数据包必须经过网关。这样就可以记录对应的IP和访问的URL了。交换机可以记录MAC地址和网口的对应关系，并通过IP-MAC-网口来锁定您的工作站。这就是防火墙监控的工作原理。

这样一来，无论你是连上WiFi还是插上网线，都无法逃脱被监控的命运。不过现在手机可以设置随机MAC，这样隐私性稍微好一点：

但一般学校、企业的网段都是按楼层、区域规划的，即使使用WiFi也能被定位到。为了详细分析其原理，这里以深信服AC系列为例。

深信服AC采用旁路接入和镜像过滤，对主干路影响较小，如图：

采用目前较为成熟的802.1x认证技术，广泛应用于各类园区网络的员工接入。但据我了解，大多数校园网都采用了认证技术。

身份验证不需要客户端。实现原理是用户先获取IP地址，访问某个URL后重定向到认证页面，输入用户名和密码进行认证，完成认证后即可访问相应的资源。实施简单方便，对原有网络环境无影响。影响大，安全性中等，认证通过前可以通过二层交换机。通过该认证方式，可以实现免认证（绑定IP/MAC）、账号密码认证、单点登录、禁止上网、微信快速登录、短信快速登录。具体认证流程如图：

该认证也方便定位个人。

由于防火墙对流量进行分析，微信、QQ等即时通讯软件均采用加密协议进行传输。虽然流量穿过防火墙，但无法解密，因此无法获知聊天内容。你可能会觉得奇怪，现在大多数软件都使用加密协议，比如微信、抖音、网易云等。那么国美如何知道谁使用了哪些应用程序以及他们使用了多少流量呢？

其原理是防火墙采用深度数据包识别技术（DPI）。该技术可以识别和标记在线音乐、视频、聊天和网页浏览流量。深信服AC应用了多种识别技术，识别范围更广。例如，URL识别是通过深信服AC内置的URL库完成的。数千万个URL库可以处理互联网上数万亿个网页和SSL内容识别技术。因此，即使您访问以 HTTPS 开头的网站，您仍然可以知道您访问了哪些网站。

至于识别抖音、QQ、微信等应用，也是通过AC的应用规则识别库完成。深信服AC号称拥有国内更大的应用识别库，由深信服应用规则研发团队定期维护，确保该库处于最新状态；基本涵盖了目前所有主流应用。所以有时候卖防火墙就意味着卖数据库。举个简单的例子，由于IP头没有加密，主要原因是需要地址转发。加密后，IP数据包无法传输。因此，通过IP查找域名，就可以知道自己访问的是哪个网站。这些IP、域名等特征都内置在数据库中，并由专门人员维护。在密码学领域，有一种同态加密技术。如果技术成熟，可以对整个数据包进行加密，保护隐私，让监管变得更加困难。

IM聊天、网上炒股、网络游戏、在线流媒体、P2P应用、Email、常用的TCP/IP协议等，都可以根据数据包特征进行准确识别。

通过深度内容检测，结合特征库和端口号，可以识别哪些流量属于哪个应用程序。不过不用担心，虽然它可以识别应用程序，但它只能知道你使用的是哪个软件，消耗了多少流量，而无法知道具体内容。例如，你在微信上聊了一上午，管理员可以知道你早上在微信上聊天，消耗了300MB的流量，但他们不知道你和谁聊天，也不知道聊天的具体内容。或者你访问哔哩哔哩、爱奇艺等网站，管理员只能知道你访问过这些网站，但无法知道你浏览过哪些视频、图片、文字。您可以查看电子邮件内容的唯一方法是使用这样的客户端来发送电子邮件。无需加密端口。如果你使用443或者通过网页邮箱（现在网页邮箱都使用https协议），你将永远看不到邮件的内容。

然后就是黑名单。在防火墙中设置相应的黑名单，比如百度网盘，那么以后所有来自百度网盘的流量都会被拦截，这意味着你将无法使用百度网盘。

我的学校设置了流量阈值。假设我每天24小时播放视频，阈值是100GB/天。如果达到流量阈值，就会触发警报。一种处理方法是给管理员发送消息，让管理员处理；在某些情况下，防火墙会自动封锁该主机或IP，然后由管理员手动解除封锁。显然，我的学校属于后者。

至于绕过防火墙的监控，这个和上面安装客户端的方式是不一样的。由于电脑上没有安装监控软件，所以所有的上网行为限制都放在网络上来分析数据包。由于数据包无法被欺骗，因此很难绕过监控，但这并非不可能。

之一种方法是在电脑上安装虚拟机，使用Linux系统或者其他什么系统，并将网络连接设置为NAT。因为经过NAT转换后，它的IP和端口号都发生了变化，而且通信协议是加密的，所以我不知道你在做什么。

第二种方法是使用VPN（虚拟专用网络）。可以直接购买现成的VPN服务，一般一个月十几块钱。您还可以购买 VPS 并构建自己的 VPN。有多种协议解决方案，如SSL VPN、IPSec VPN、PPTP、L2TP等。通过TLS加密和通过代理服务器进行流量转发，绕过监控拦截规则。但要注意的是，更好不要为VPN设置全局代理，因为那样的话所有流量都会被定向到同一个地方，一分析就知道VPN宕机了。因此，只允许必要的域名使用VPN流量，其他域名则使用普通流量。这样就不容易被发现。

防火墙

可能有人会说，讲完了，我不用用公司、学校的网络了。我的数据流量很大。我在电脑上打开热点，使用手机的4G/5G上网。这样，交通就不再经过学校了。，公司的网关，但是通过移动运营商的基站上网，所以公司无法监控我。但你真以为用4G上网就不会被监控吗？

大家都听说过长城防火墙（Great，简称GFW）。如果把中国比作一个非常大的公司，那么这个公司自然会有防火墙。所有访问国外网站的流量都需要经过GFW的过滤，就像普通公司一样。，但这个防火墙设置在主网络网关，由多台服务器、路由器等设备组成。你会发现有些网站无法访问，比如、等。如图所示：

这就是 GFW 的工作原理。这些网站和应用程序均被列入 GFW 的黑名单。访问时会自动断开连接。我们平时说的翻墙，指的就是GFW。事实上，管理员知道，当我们绕过防火墙时，常用的VPN已经被记录在特征库中了。是否阻止只是指令的问题。即使您自己构建VPN，仍然可以根据流量、协议等特征的分析进行检测。 GFW的原理与上面提到的类似。具体描述如下：

当然，除了防火墙之外，国家目前还有一个网络安全工程，名为“ *** ”。它的作用比防火墙更广泛。经过多年的发展，基本覆盖了互联网的各个角落，网络监控能力进一步加强。除了长城防火墙和 *** 之外，其实还有一个安全工程：天眼工程。我不会详细介绍。

结论

无论您使用哪种方式访问互联网，您都会受到监视和控制。但也有限制。本文从技术角度分析网络监控的原理。预期的目标是达到这样的效果：当你连接到校园网时，你可以知道哪些信息是网络管理员可以知道的，哪些信息是你不知道的。，你知道哪些，所以你心里有一个想法。上面提到的QQ微信等聊天记录都是通过键盘记录和截图记录来实现的，因为即使监控软件系统内置了自己的证书，微信通信也是加密的，无法解密。简而言之，您在互联网上的所有活动都会被记录下来，非常容易追踪。