大家好,还记得我是谁吗?对了对了对了,我就是你们的好朋友——去收快递回来的Ovear君~
要说起昨天的快递啊,那可是非常的赞~双十二买的Dr pepper划算超值!就是不知道为什么为什么会有一个伞的标志,Ovear记得以前没有的呀Σ(っ °Д °;)っ,就是这样的
Ovear感觉喝起来味道有点奇怪呀~为什么有一股奇葩的味道=。=
好了好了,不扯了,接下来进入今天的正题-0-
-0-上班的时候,大家一定都知道老板购买了一个奇怪的设备~然后就可以监控咱们看了什么网页,看了什么东西,跟谁聊天,发了什么邮件。甚至能屏蔽我们访问一些网站,那么这是怎么做到的呢?
答案就是——企业通常防火墙,(Ovear在这里给他取一个别名General Fire Wall, ”请勿“对号入座)
想必大家经常见到的都是这种以一个防火墙模模糊糊带过的~看完也是云里雾里的┑( ̄Д  ̄)┍,那么作为科普(作死)专家,自然要给大家刨根问底,这个防火墙的原理到底是什么呢~
我们来看一张图~
这里的[防火墙],已经被替换为[镜像交换机]和一台[监控服务器]了~
这就是这个监控防火墙的关键,也是实现原理~
那么什么是[镜像交换机]呢~其实很简单,说白了就是把你上网的所有数据,都拷贝一份然后传送给旁边的[监控服务器]。
然后这台[监控服务器]再分析里面的内容,这也是网络中所谓的[旁路监控]。所以自然我们的什么信息都被看到了。
我们再来看一下[监控服务器]所使用的技术。
1、IP封锁
这个功能就比较好实现了~直接在[镜像交换机]处检测数据发往的目标,如果发现是封锁目标的话就拦截下来,不转给[光纤交换机],自然也就到不了Intelnet啦~
简单的说就是Ovear海淘了一份Kindle,然后在海关处被查了(QAQ希望别真被查哭哭),海关又不联系Ovear,这个Kindle就这样被扣留下来了,Ovear就收不到了~
2、域名封锁
纳尼!Ovear的博客怎么跪了!老板抽什么风!竟然封了窝域名!嘿嘿,幸好窝还有备用域名,啧啧啧~
明明是一个IP,但是有些域名可以访问,而有些域名访问不了这是怎么回事呢?
其实,Ovear在上一篇博客也说过,在互联网中是只有[IP地址]的~那么电脑是怎么判断你是通过哪个域名访问的呢?答案就是,电脑在传送数据的时候,顺便告诉对面你是通过哪个[域名]访问的~这样对面就可以根据对应的域名做出回应。
所以数据包中,不但含有目标IP,而且还含有Ovear需要访问的域名~这样监控服务器就可以看到Ovear是准备访问哪个域名了~
可能又有同学会出来问:不对啊!数据都不会经过[监控服务器],他怎么可以阻断我们的连接呢?他只是拷贝了一份而已呀。
没错,这就是旁路监控的重点了~~
上一篇文章我们说过,网络协议分成[TCP]和[UDP],TCP是会保证可靠性的,所以在通讯之前会确认是不是连接上了的~而且还规范了一定的协议。
打个比方
Ovear打电话给朋友,一般都会在说正式内容前问一句:听到了嘛?
朋友听到后在告诉Ovear:恩,听到了,肿么了?
经过这样一个过程,才会真正传送数据。这就是所谓的[TCP握手]。
当然Ovear在挂电话的时候也会这样说一句,所以自然[TCP关闭连接]的时候也有一个规定,也就是[RESET指令]。旁路[监控服务器]正是利用了这一点,在检查到数据包后,利用自己离Ovear比较近,抢先一步欺骗Ovear说目标服务器关闭了连接,同时会[过滤]目标服务器发过来的那个包,并且在发送相同的内容给[目标服务器],让目标服务器认为是Ovear主动关闭了连接。
可能有些没有计算机网络概念的同学还是没有听懂,这里Ovear就再来打个比方~
Ovear准备打电话给"女朋友",叫她今晚出来吃饭~可是不幸的是Ovear的[母上](监控服务器)并不喜欢Ovear跟她交往,所以在Ovear的手机里装了个木马,这样Ovear的[母上]就可以听到Ovear跟女朋友说的话啦,同时还可以控制Ovear的手机。
只要Ovear一给女朋友打电话,木马就马上告诉Ovear的手机是"女朋友"挂断了电话,同时告诉"女朋友"是Ovear挂断电话的。
这样Ovear就打不通啦~
3、内容监控
接上面话题,Ovear的"女朋友"知道这件事后,换了个[母上](监控服务器)不知道的电话号码(域名)。但是不小心被[母上]知道,于是[母上]很生气。就实时监控Ovear的通话内容,只要一出现[女朋友],就马上截断这句话,并且冒充女朋友说不方便,要挂断电话。然后在女朋友那边,又冒充Ovear说不方便,也挂断了电话。电话被成功截断~
为什么可以这样做呢?因为其实我们上网都是明文的,大家都知道,就像汉语一样。那么只要有服务器想监听是非常容易的。
所以解决方法嘛,就是加密,跟女朋友打电话的时候换一种母上听不懂的语言,这样自然就没办法解密了。。
(其实还有一种方法是DNS污染,但是之前讲过了,就不在这里重复了,简单的说就是木马把Ovear通讯录里面 "女朋友"的电话改成了另外的,这样Ovear就打不通了=。=)
啊肚子好痛啊,喝了昨天送过来的Dr pepper之后感觉胃里好难受,Ovear先去厕所一趟。。明天再码。。。
..............................................................
甘泉
博主,你卖得一手好萌啊,
特意注册号来关注你,
现在的技术宅不光要懂技术还要会卖萌啊!
ovear 回复给 甘泉
OAQ感谢支持~
iTeches
特别喜欢你写的文章,虽然我也是学网络的,但是能把这个写到这种境界的我见过的也只是第一个。
ovear 回复给 iTeches
TAT我也是把我知道的那一点点写出来啦~
shaw
博主太萌了,大学生?
ovear 回复给 shaw
-0-是学生呢~
MichaelW
不明觉厉。。。。
Ovear君,你赢了。。。
ovear 回复给 MichaelW
OAQ还是看不明白么,看来我功力还是不够
妹空酱
OAO这越看越不对啊,O酱真的不是在作死?
ovear 回复给 妹空酱
QAQ窝。。。窝。。。窝才没有作死呢!
星海
安布雷拉的产品啊~楼主喝完有没有感觉皮肤瘙痒,食欲大增,脾气暴躁有打人毁物倾向?
太阳雨
我去。这么NB的学生。。。赞
不认识
博主,你卖得一手好萌啊,特意来关注你~
蛋疼实验室博主来蛋疼一下
不认识
发现博主的博客有如下问题:
评论提交需要好长时间,然后返回服务器无响应
刷新之,无评论,再提交一次,提示检测到重复评论
再刷新之,评论出现鸟。。。
nya~
来看萌萌的博主 嗷嗷!
Aya
胡椒博士不但培养了狂气科学家 也养育了萌萌的博主w 之前看到乃说去收快递 好担心啊QAQ 看来担心都是多余的_(xз」∠)_
Charles
萌萌的博主,你这废话太多了,看着都费劲,找了半天都找不到重点,但文章写的很不错,很有意思的原创啊!支持下!
Joshua
为何不放点解析的网络包出来瞅瞅,这样不是更加高大上了?
SHIZUKA
好萌的博主,密切关注~这样麻麻再也不担心我的计算机网络课不懂啦~嘿嘿
篝酱
O菊苣深得大众喜欢
864907600cc
博主这么可爱一定是妹纸系列
864907600cc 回复给 864907600cc
对于防火墙的概念似乎咱也不是很清楚,嘛,咱基本不涉及服务器这一块 =.=……
然后……说好的“明天”呢 =.=……
ovear 回复给 864907600cc
咕嘿嘿,明天~
leo
这个东西二层桥部署进去的多一点儿吧。毕竟旁路无法做到流量控制,P2P大多为UDP的传输。
ovear 回复给 leo
UDP传输可以通过镜像交换机解决。而且作为旁路设备,可以非常迅速的返回UDP,以及控制链路。是比较理想的选择,同时对延迟要求不会很高。目前流控一般是路由的QOS做,如果要限制,像网路岗等软件都是需要装客户端的。
iTeches
亲,你人呢?是不是喝的东西变质了?我还等着你写东西呢!
我买糕的。
博主你这么卖萌你家里人知道嘛!
ovear
看到这么多说我是学生的,其实人家是小学生啦,内门不要这个样子的嘛!
iTeches 回复给 ovear
快更新啊!
ovear 回复给 iTeches
QAQ刚开学忙屎了,不好意思啊
海棠姐姐
爆爆!!
elleys
ovear你的dns的ytb的穿透黑科技是怎么实现啊,能不能给个联系方式啊!
ovear 回复给 elleys
其实就是使用tcp方式查询dns啦~联系方式ovearj$gmail.com哈~
楼主走好
博主真是“十块钱我卖个萌好吗”,大爱技术+萌点文,博主懂得好多呀~好多呀~有空教几手~
ovear 回复给 楼主走好
嗷嗷,窝也是略懂一些啦~
OX
某墙的工作方法也类似啊
RESET是个坑
OX
某墙的工作方法也类似吧?
也靠的RESET
ovear 回复给 OX
咕嘿嘿,Enterprise General Fire Wall乃懂得~
孙华
才女啊,佩服!
ovear 回复给 孙华
_(:з」∠)_其实窝是小白啦~所以才敢出来作死(wwwww笑
PS:嗷嗷,大大的博客主题好赞!窝这个主题都丑死了OAQ
Kunr
OAO卖的一手好萌的Ovear酱,么么哒。
ovear 回复给 Kunr
OAQ Kunr菊苣!竟然有菊苣来看窝博客好感动 哭哭
rhj
一切都是命运石之门的选择~
蔓舞寻樱
WoW~膜拜菊苣~
国内好多机房都动用了这种手段~唉~
ovear 回复给 蔓舞寻樱
_(:з」∠)_菊苣雷猴)是哇,都开始自我审核了
koushiro
博主写技术帖都卖的一手好萌www 阔爱_(:з」∠)_
LD拉妖
所以说VPN不可避
uiygfyui
卖萌提高了理解难度