黑幕揭密！来看电信部门如何监控网民隐私

Raony

前段时间看了电影“虎胆龙威4”和“谍影重重3”，觉得里面网络技术太牛了。“虎胆龙威4”里面的黑客通过网络就可以控制这么多东西；“谍影重重3”里面的CIA也厉害，一个记者在电话里面说了几个敏感字，马上就被盯上了。作为一个网管，我对网络技术还是有一定了解，但电影里面的技术让人觉得太不可思议了。我很想知道这些技术是电影里面虚构的还是现实存在的，于是没事我就上网查找相关资料，希望能够了解到更多相关知识。

　　经过一段时间的搜索我没有发现什么有意义的东西，直到一次偶然的机会，我找到一家做数据采集设备的厂商的网站，从网站上下载了他们的产品白皮书，仔细看了他们的产品介绍后，发现里面的产品可以用“可怕”两个字来形容。虽然里面技术远不如电影里面强大，但对我们网民来说，里面的产品和技术对我们的影响是巨大的。白皮书里面的产品让我们网民的隐私暴露无余，不光我们上过什么网站、玩什么游戏、发过什么邮件、和什么人聊过天，统统在电信部门眼皮子底下，我们的上网的信息包括我们的QQ帐号、游戏帐号、网上银行帐号都可能被电信部门甚至是犯罪分子利用（这是最可怕的，我后面会具体讲）。

　　我喜欢研究网络技术的，发现这么可怕的产品，我觉得有必要告知网友们。在了解这些技术之前，我建议大家去看看一些相关产品介绍，大家可以到http://www.pl-tech.com/jump/22superviseWW.asp.htm，http://www.venustech.com.cn/products2005/tianyue/20050831/4440.htm，看看目前的审计系统能够做到什么程度，我所找到的产品白皮书可以在http://www.fisee.com.cn/doc/FS系列产品白皮书_v1.3.pdf下载到。

　　下面是我针对厂商的产品白皮书进行的分析。引号里面的内容摘自白皮书，“————”后面是我的分析和评论。

　　“公司是一家致力于高速网络监控和安全审计领域硬件系统研究及产品开发、销售、专业服务的高科技企业。产品支持包括ADSL、100M、1G、OC3/155M、OC12/622M、OC48/2.5G、OC192/10G等速率的2至7层网络数据协议识别分类、过滤、负载均衡、数据交换、镜像以及数据包内容字符串识别功能。为政府、军队和企业信息系统整体化应用安全解决方案提供硬件支撑，服务用户可遍及政府、公安、安全、军队、电信、企业、金融、教育等行业。”

　　————看得出来这家公司在网络监控方面很专业，可以在从ADSL到10G的各种速率的线路上进行监控，而且支持内容识别，也就是说无论什么网络环境、无论什么上网内容都能够被他们的产品监控。上面的信息也透露出，政府部门和电信企业是他们公司的主要客户。政府监控网络我们没有办法，但电信企业是没有权力监控我们上网内容的，在这里强烈鄙视那些为了自身利益侵犯网民隐私的电信企业。

　　“通过多年来与美国、中国•台湾等多家企业的深入合作”

　　————看来这家公司的技术是世界水平的，同美国和台湾关系还不错，说不定他们私下通美国、台湾的情报部门也有深入合作，那样的话不光是我们中国网民的隐私，连我们国家的秘密也可能被窃取。

　　“产品销售达数百套之多”

　　————已经有很多人在监控范围里面了。

　　“能够满足用户将过滤卡串接在网络中，对网络数据进行实时控制”

　　————这是厂商总结一款千兆采集卡的“优点”之一，这确实是一个很大的“优点”，可以让电信部门不仅能够监控我们的上网内容，还能控制我们的上网内容，现在明白为什么有些站点不能访问了吧，明白为什么我们用BT下载的速度这么慢了吧，因为我们处于“实时控制”之下。值得注意的是，除了在电信大楼的线路，在公司、园区网络出口这类使用以太网线路的也可以被监控，大家上班时上网得注意点了，最好和公司网管搞好关系（我们公司经常有人请我吃饭，呵呵），免得上班聊天被监控记录了。下面是摘自白皮书的两张千兆卡的应用实例图，从图里可以看出企业、学校、政府这类使用专线上网的用户适合用千兆卡进行监控。

　　

　　

　　“满足用户对VOIP等没有固定端口的数据包进行处理”

　　————VOIP是网络电话使用的协议，打网络电话也不安全了，一样容易被监控。

　　“对OC192或者10GE线路进行分光，然后将其输入到FS5000系列10G过滤设备的10G入口，同时将设备的千兆输出口连接到后端数据服务器或者千兆交换机。开启设备，并对设备进行正确配置，将用户需要的数据通过千兆以太网口输出给后端服务器。后端服务器接收到数据后，对其进行分析、处理，并将分析后的结果存储到数据库中。”

　　

　　————这是厂商对10G过滤设备的应用场景描述，大家知道只有在电信骨干网络上流量才有10G之巨，这应该是电信部门对网民进行监控的典型方式，通过这种方式，电信部门能够对一大片区域的网络用户进行监控，把他们感兴趣的信息存储到数据库里面，这样电信部门就可以对网民的上网行为进行统计分析，这样网民喜欢上什么网站、打什么游戏等信息就全在电信部门掌控中了。

　　大家仔细看，下面就是我所说的最可怕的产品了。

　　先看看产品图片：

　　

　　下面是产品介绍：

　　“FS6000系列ADSL网络技侦设备：

　　FS6000系列ADSL设备是武汉XX科技有限公司针对系统集成商、网站等有网络监控需求的用户，推出的一款ADSL网络设备。该设备主要用于将上下行的ADSL数据转换为10/100M数据，然后输出到后端服务器进行处理。FS6000系列ADSL设备可以同时支持桥接和旁路两种工作方式。在桥接工作方式下，用户可以对上下行的ADSL数据进行修改，丢弃等处理；在旁路工作方式下，用户只能接收上下行ADSL的数据，而不能对数据进行改动。为了保证该设备的接入不会对用户通过ADSL上网造成影响，FS6000系列ADSL设备能够在断电，软件处理程序失效，服务器死机等情况下自动进入直通模式，保证用户上网不会掉线。”

　　————厂商描述这个产品是“技侦设备”，厉害吧！技侦设备是咱们公安机关侦破案件的专用设备，一般人是见不到的。我经常看警务报道，知道技侦技术都是保密的，如果大家都知道公安叔叔怎么破案的，罪犯就会采取办法避免被侦察，这样一来坏人不是更难抓了？从常识来看，技侦设备不应该出现在互联网上，这个产品多半是假的技侦设备；从技术上来说，这种设备对侦控网络犯罪还是有用的，公安用这种设备的可能性满大的；还有种可能性就是厂商为了提高产品销量故意泄漏本应该保密的技侦技术手段。

　　先不管这个产品是不是技侦设备了，我们来看看这个设备是做什么的吧。从厂商介绍来看，这个设备是串联在ADSL线路（也就是电话线）中，把上网数据从电话线上转换输出到服务器。为什么要进行转换呢？是因为服务器都是以太网卡，电话线上的通讯数据服务器无法识别处理。使用ADSL上网的一般都是个人用户，这个和厂商描述的“针对系统集成商、网站”还是有点出入。这个设备还设计了各种保障措施保证用户不掉线，这样即使某个网民门外的电话线接了这样一个设备也感觉不到，想得真周到啊，呵呵。再来看看这个设备的工作方式吧：

　　“支持两种工作方式：

　　桥接工作方式，设备串联在ADSL线路中，用户可以修改通过该设备的ADSL数据。

　　旁路工作方式，用户只能接收上下行ADSL数据，不能进行修改。设备的接入不会影响电话语音业务的使用”

　　————看了设备工作方式，刚开始可能不会有什么感觉，但仔细想想，这里面有很大的问题。先看旁路工作方式，这种方式下面我们的上网的数据只是被监控而已，这个和前面的产品功能差不多，除了电话语音可以被监听外，没有什么好说的。再看看桥接工作方式，里面的关键点是“可以修改通过该设备的ADSL数据”，这意味着什么？意味着你想访问网易他可以改成你访问的是新浪，这样还好，如果你访问的是某个银行的网上银行页面呢？

　　经常看到有报道说网上有一些钓鱼网站，这些网站伪装成银行的网银站点，骗取用户输入银行卡帐号和密码。当然，如果我们小心点，注意观察网站域名，就不容易上钩受骗。但如果你家电话线上被串联了这样一个设备，即使你输入正确的域名，你访问的也有可能是钓鱼网站，监控你的人可以通过修改DNS域名查询结果、修改你访问的URL、修改服务器IP地址等多种方法达到这个效果。这样一来，你的银行帐号唾手可得，更不用说你的游戏帐号、聊天帐号了。

　　这个设备既然放在互联网上宣传，厂商联系方式一清二楚，想必只要有钱，任何人都可以买到这个设备（提高销售量也是厂商的目的），而且从图片上看来这个设备不像很昂贵的设备（感兴趣的可以去问问价格，不准买来干坏事哟）。如果这个设备被别有用心的人买到就坏了。想象一下，在你家楼梯间的电话接线盒里面多了两条线，通向某间出租屋，里面放了一台这样的的“技侦设备”和一台笔记本电脑。就算你安装了防火墙、杀毒软件，你的网络也彻底不安全了，可怕吧？再回想一下前面的一款千兆采集卡好像也可以桥接使用，对网络访问进行实时控制，看来使用专线上网或者在单位上网也不安全了。哎～，为了安全，大家都使用无线上网算了，还可以支持国家的3G网络建设。

　　“用户可以通过web进行访问”

　　————看来这个设备还支持远程访问，可以一个人集中控制多台设备了，大大提高了窃听效率，高！实在是高！

　　下面是设备桥接工作模式连接方案图，里面有个公安叔叔的图标让人哭笑不得，如果使用这个设备的真的是公安就好了，俺是好人俺不怕；但如果这个设备真的是公安叔叔在使用，我们就不应该在这里看到这个设备使用图了，罪犯知道了公安会怎样进行监控肯定会采取方法躲避；最可怕的是如果犯罪份子拿着公安叔叔高科技的“技侦设备”对付普通人，其后果………

　　

　　“在桥接工作方式下，后端的数据分析服务器从桥接上行端口接收到数据后，对其进行分析，

　　处理，然后输出给桥接下行端口。同样在对桥接下行端口的数据进行处理后，输出给桥接上行端口。同时，为了保证在分析软件死掉或者服务器当掉情况下，用户不会掉线，后段的数据服务器需要定时通过串口给设备一个信号，如果设备在500ms内，没有接收到服务器发送过来的信号，将会自动进入直通模式，保证用户不会掉线。”

　　————上面是厂商对桥接工作方式的描述，可以看出厂商在保证用户不掉线方面下足了功夫，目的很明显：让用户觉得一切正常，防止用户发现自己被监控了。

　　对白皮书的说明就这些，以上的各种监控手段从技术上我没能想到什么防范方法（我技术水平太低，能想到的防范办法是不上网），我目前能够做到的是给广大网民提个醒，让大家知道这种产品和技术的存在，同时也希望有高手能够站出来想法防止我们网民的隐私被侵犯、上网安全受威胁。

　　上面零零碎碎的分析了这么多，现在还是做个总结吧：

　　通过一些利欲熏心的厂商迎合电信部门开发的产品，电信部门监控网民隐私变得十分容易，从家门口的电话线到骨干网络都可以进行监控。监控的方式分为两种，一种是旁路方式，这种方式下面网民感觉不到监控设备的存在，这种方式只是侵犯了网民的隐私；另外一种是桥接方式，这种方式不光能够监视，还能够修改网民的上网数据，这种方式不光侵犯隐私，还对网民的上网安全构成了巨大的威胁。尤其是那个“ADSL技侦设备”，如果被滥用将会产生严重的后果，甚至形成新的犯罪手段。

　　在此，我们不光要反对电信部门滥用权力对网民进行隐私侵犯，也要反对那些只顾自身商业利益，不顾广大网络用户利益，甚至危害公共利益的所谓的高新技术厂商。像本文里面的厂商自诩同美国台湾深入合作，说不定产品的核心技术也来自美国台湾，这样的产品如果被广泛使用对国家信息网络安全也是一种威胁。在此呼吁政府相关部门，你们不要只是约束网民的行为，你们更要约束电信企业和一些不良厂商的行为，你们要不遗余力的保护网民的利益，构建和谐的网络环境，这也是构建和谐社会的重要部分。

　　最后希望大家能够广泛转载这个帖子，让更多人知道这些电信部门和某些厂商的技术黑幕，让更多网民能够注意自身的上网安全。也希望这个帖子能够吸引有关部门注意，能够采取实际行动保障网民权益。

　　快快转载吧，转载不必说明作者和出处。这个帖子多半一发出来就被电信部门盯上了，目前正在被清除呢。让我们大家一起努力，让电信部门看看我们网民的力量，看是电信部门清除得快还是我们网民传播得快。我们要让电信部门明白：互联网是我们大家的，我们是用户，电信部门只是负责拉拉光纤装装设备而已，他们是为我们提供服务的，服务提供商永远不能凌驾于用户之上！！

sheen

顶一下!

jorners

监管就的靠这些技术.
要不能命令论坛管理人员删贴.
前阵子有关组织认为不利和谐问题的帖子不都被干掉了.
多少的网上警察在做这个玩意.