扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
三号嫌疑人排查手段:网络监控
从上边的分析来看,网站或软件似乎也不应该是真正的罪犯。但目前只剩下这一个嫌疑人了,看来必须动用更多的手段来排查了。
使用微软发布的网络监控程序Network Monitor 3.1,同时使用Camtasia Studio4做全屏幕录像。以126邮箱为例,最近每天第一次访问邮箱时总是会附带跳出一个名为“QQ空间互踩联盟”网站,尽管现在弹出该网站看上去只是为了宣传网站,但第一次遇到这个弹出窗口时NOD32的警告信息却让我记忆犹新,我必须要提高警惕(图2)。
图2
一次典型的监控是这样的:首先我必须确保系统后台无多余程序,其实,通过排查嫌疑人二号所建立的系统环境,就已经满足了这个条件。MS Network Monitor 3.1实现了网络协议级别的数据流监控(通常称为“嗅探”),网卡收/发的任何一个网络数据包都会被它记录,并可保存成专有“.cap”格式文件便于后期分析。
启动Camtasia Recorder程序开始全屏幕录像。打开Monitor,首先选择网卡后,新建一个嗅探标签,点击按钮“Start Capture”或默认按F10可启动嗅探(图3)。选择无加载项打开IE的空白页,至此嗅探器中只会显示出极少的系统自己产生的网络校验数据包。当在IE地址栏键入“www.126.com”并回车,我们能够观察到嗅探器窗口中飞速地刷新数据,左下角不断更新的抓包数量递增得很快。登录126后 进行了简单操作,待出现“QQ空间互踩联盟”的弹窗后,停止嗅探,先保存一下文件,计数器显示嗅探到1511个包。所有数据包默认以捕获时序排列并且已经编号。
图3
如何分析这上千个数据包?逐一查看比较费时。利用Monitor提供的过滤器,我们按以下思路来分析。从域名链接来看,“联盟”与126不在同一域名下,那么在IE要访问它时必定会先向DNS查询域名记录,于是在过滤器窗口内键入“DNS”然后点击Accepted按钮,嗅探窗口随即刷新只显示出DNS协议有关数据包,很快就找到了属于“联盟”的查询记录,序号324。
现在我们更新过滤器关键字为“DNS or HTTP and !HTTP.payload”,意思是只显示DNS协议与HTTP协议相关的,并且不显示HTTP的分解下载数据。点击按钮“Go to frame”,填入324后再点Find。窗口就直接显示出了324包的位置和内容(图4)。
图4
从324往上找,很快找到了312号数据包“Http: Response, HTTP/1.1, Status Code = 200”,我称其为“幽灵包”。从它的内容可以看出,这是一段标准HTML语言组成的完整页面,要求浏览器以800×600的新窗口大小弹出指定网址,并且本段页面内容不录入浏览器缓存,弹出新窗口后立刻删除。这就是本文开头提到的“闪动了一下”……
从目前的获得的信息来看,312中的代码目的只有一个,让正在访问126邮箱的用户打开不在网易服务器上的新网址;312号包似乎是伪装的,没有包含来自126服务器的正常数据;没有投放统计功能的广告推广,按理说知名网站绝不会干这种打水漂的业务。种种不合理的地方显示,三号嫌疑人的嫌疑越来越小。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。