锐捷5.20代理检测之ACK响应报文检测

锐捷使用了很多方法来进行代理检测,报文检测只是其中之一

以下方法通过wireshark抓包分析对比证实,未使用任何反编译,反汇编工具

在虚拟机锐捷多次提示:【请不要安装和使用代理软件未他人提供代理服务】之后

个人猜想:锐捷可能通过报文检测来检测使用代理

通过文本比对工具beyond,进程分析工具procmon,发现,锐捷在弹出提示框之后,将提示原因写入了日志,日志名称为proxy.log

下面摘取部分日志

[2014-11-13 23:45:39][536][info]:DNS thread run success
[2014-11-13 23:45:39][212][info]:QueryDNSThread start,running...

[2014-11-13 23:45:50][1948][error]:Failed to post UM_RECVPACKET message.
[2014-11-13 23:45:50][2016][info]:adapterName={65DF12CE-0484-419B-8EF9-5AD1547D3750} 

hostMac=00:08:00:5d:5a:ca kinds=ffffffff
[2014-11-13 23:45:50][2016][info]:m_adapterName={65DF12CE-0484-419B-8EF9-5AD1547D3750}
[2014-11-13 23:46:12][2016][info]:↓↓↓↓↓↓↓↓↓↓↓↓↓发现影子用户,打印报文 ipTotoalLen:40↓↓↓↓

↓↓↓↓↓↓↓↓
[2014-11-13 23:46:12][2016][info]:
--Hex Stream BEGIN-------------------------------------
00 1A A9 C4 AC DB 00 08 -- 00 5D 5A CA 08 00 45 00 
00 28 6D BD 40 00 40 06 -- 0C 8A AC 12 3E C9 B6 76 
1F 37 39 56 00 50 F3 D7 -- A0 37 C0 41 08 7A 50 10 
01 02 57 D8 00 00 00 00 -- 00 00 00 00 
--Hex Stream E N D------------------------------------
[2014-11-13 23:46:12][2016][info]:↑↑↑↑↑↑↑↑↑↑↑↑↑发现影子用户,打印报文↑↑↑↑↑↑↑↑↑↑↑

↑↑↑↑↑↑↑↑↑
[2014-11-13 23:46:27][212][info]:QueryDNSThread quit
adapterName通过注册表查GUID获得

然后检测该网卡的所有向外发送的ACK报文(包括ACK重置报文),如果不是该网卡发送的则认为有影子用户存在,强制下线,打印报文

下面简单分析一下这个报文的数据,报文一般发生在TCP三次握手的最后一个阶段,本机向服务器确认

链路层
00 1A A9 C4 AC DB 00 08 -- 00 5D 5A CA 08 00
源MAC地址00 08 00 5D 5A CA==本机MAC地址
目的MAC地址00 1A A9 C4 AC DB锐捷交换机MAC地址
类型08 00 IP报文

IP层

45 00 
00 28 6D BD 40 00 40 06 -- 0C 8A AC 12 3E C9 B6 76 
1F 37

协议版本4
头长度20字节
源IP:AC 12 3E C9==172.18.62.201
目的IP:B6 76 1F 37==182.118.31.55 河南省郑州市 联通
//6F A1 30 E0==111.161.48.224==腾讯天津联通服务器
下层协议:06 TCP

TCP层
源端口:39 56==14678端口
//31 CE==12750端口
目的端口:00 50==80端口
ACK报文:50 10
ACK+reset报文:50 14
锐捷检测5010和5014,目的端口均为80端口


后续:

相关专利

CN101888296 B

发明者 陈光磊
申请人 北京星网锐捷网络技术有限公司

本发明提供了一种影子用户检测方法、装置、设备和系统。所述方法包括:在用户认证通过后,获取与认证通过的用户具有相同的用户认证特征的报文;提取出所述报文的标识字段,并计算相邻报文的标识字段的差值;判断所述差值是否符合预先设置的影子用户检测条件,如果是则判断存在影子用户。本发明可以检测网络中是否存在仿冒合法认证用户身份的影子用户,解决了影子用户带来的安全隐患和逃费问题。





你可能感兴趣的:(锐捷,ack,代理检测)