分享好友 最新资讯首页 最新资讯分类 切换频道
老板是如何发现你上班摸鱼的?
2024-11-07 22:10

复工了,意味着居家办公(摸鱼)的日子要结束了,一时竟不知几家欢喜几家愁。

老板是如何发现你上班摸鱼的?

而上海的“入梅”更是让上下班的通勤异常艰难。

地铁进站口密密麻麻的雨伞

图源:上海地铁shmetro

天时地利,一个都没占上,上个班未免也太难了,但更“难”的可能还在后头。

上班摸鱼被“抓”

今年春节前后,两篇因摸鱼被公司发现的报道在网络引发热议。

一篇是某家电集团的内部通报,其中详细列出了员工在工作时间访问非工作相关内容的流量情况,另一篇报道则是一员工在工作时间投递简历一事被公司安装的行为管理产品发现。

通报部分内容图源:都市快报

网传监控系统图片

图源:广州日报

一时间,关于摸鱼与反摸鱼的讨论甚嚣尘上,同时引出一个问题,老板们是如何发现员工上班时在摸鱼的?

两种主流的

企业网络管理方案

目前,主流的企业网络管理方案有两种,一种是安装行为管理软件,另一种是进行流量特征分析

在2015年之前,比较流行的是上网行为管理软件。相较之下,它的含金量较低,具体的操作方式就是通过在公司的办公电脑上安装相关监控软件,以便记录摸鱼行为。

大致原理是通过定期截屏、进程监控、流量记录、文件变动来对员工电脑的使用情况进行收集。

但随着大家的电脑技术和操作系统安全性的提升,这种类似木马的软件很容易被员工卸载。同时,截屏的行为也极易引起法律纠纷。

随着智能手机的兴起,这种方案遭受了点挫折。安卓手机如果不Root (提升权限,使手机使用者或部分软件有更高的权限) 将无法执行监控行为,苹果手机更是如此,存在录屏与监控麦克风的情况时,系统左上角会有高亮提示。因此,这类软件也就逐渐被淘汰了。

另外一种技术方案为流量监控。通常情况下,所有的上网行为都需要通过网络设备到达公网,而且现在公司基本上都会提供无线网络供员工使用。在这期间产生的所有网络流量,都会经过网络设备流向互联网,因此只需要在网络出口设备中做流量镜像,将公司内流入流出的数据流量复制一份到分析设备,就可作上网行为分析之用。

行为管理产品配置

图源:深信服 AC 上网行为管理 白皮书

这里解释下,我们一般将公司内网称局域网,局域网外部分为互联网 (公网)。 互联网与局域网之间的设备称路由器 (Router,一般家庭中的无线路由器实际为路由器加交换机功能的混合产品,需要与企业用的路由器区分开来)。

可以把路由器理解为一个指路人,他维护着一张路由表,告诉局域网内出向的流量应该如何走,互联网进入的流量如何到达局域网中的那台设备。

路由表,告知流量如何走

图源:作者截图

当然,局域网内的设备不可能全部都接到路由器上,一般的上网设备都会接入交换机,交换机维护着一张MAC表格,表上有具体的MAC地址 (网卡的硬件地址) 与IP的对应关系。

MAC表,记录IP与实际设备的物理地址

图源:作者截图

高阶的商用产品带网管功能,可配合802.1x协议,对接入的有线与无线客户端做身份验证。验证成功的客户端将在管理界面直接关联相应的设备,从而与人关联,以便做行为统计。

如果你是Windows电脑,可以试着做一个小实验。在键盘上同时按住Windows键 + R键,电脑会弹出一个输入框,在输入框里输入cmd。然后在出现的黑色框中输入 “ipconfig /all” 然后按回车键,你会看到你当前电脑的IP地址,其中有一项物理地址便是你的MAC地址。

原则上,你的MAC是全球唯一的。你也可以继续使用命令“arp -a”,查看当前你局域网中的“邻居”的IP地址与物理地址的对应表。

如何判断摸鱼行为?

我们回到摸鱼行为管理这部分内容。在上面的介绍中,我们已经知道了公司如何将设备与你关联的,那么又是如何判断你在摸鱼的呢?

如上文提到的行为管理产品配置图,公司只需要在路由器或交换机上将进入流量复制一份便可 (一般实操为汇聚交换机,小公司网络设备简单在此不提) ,这项技术叫旁路镜像

如果把进出流量比做寄出与寄入的信件,旁路镜像实际便是把你的信件复制一遍后,给到分析设备,再由分析设备慢慢“看”。到这一步,你的网络行为就赤裸裸地展示在老板面前。

现在我们来看看,分析设备是怎么“看”你的流量的。你的流量到达分析设备后,根据不同的协议,设备开始做行为判断或者简单的分析。 互联网之间的流量都是按标准的协议来传输的,如常见的HTTP超文本传输协议就是访问网站的协议) 。

下图是网络流量分析工具Wireshark的截图,我们可以明晃晃地看到笔者刚刚打开的是上海科技馆的官网http://www.sstm.org.cn/。

访问的流量

图源:作者截图

因为上海科技馆未使用HTTPS,所以网站的回复将明文展示给分析设备。

回复的流量

图源:作者截图

那么问题来了,如果用户访问的是加密网站,或者使用的是手机APP流量时,还会被发现吗?

答案是肯定的,虽然分析设备不会知道你访问的具体内容,但会知道你有过访问行为,并且可以统计流量。

这里我们需要了解一个协议DNS。我们在互联网上的地址为公网IP地址,为了访问方便与IP地址的更新,各网站与APP的提供者很少直接提供IP给客户访问,因此会提供一个别名 (即域名) 给到客户。

域名与IP的对照关系

图源:作者截图

从图中可以看到的是,www.baidu.com实际解析在180.101.49.12与180.101.49.11这两个IP上。所以,我们实际访问http://180.101.49.12/打开的也是百度。

客户请求时,操作系统会问DNS服务器这个域名的IP地址,这个过程的请求也会被记录。最终得到的IP即是实际提供服务的地址。

我们在此看到,打开微信后,应用询问res.wx.qq.com的IP如下,后续与其的相关流量却被认为是使用微信的流量。

图源:作者截图

另外当客户打开抖音,监控会发现从如下DNS查询过程中发现实际的IP地址 (另外发现live.douying.com抖音直播使用的是阿里云的CDN加速) 。

图源:作者截图

当然DNS配合域名监控只是方法之一,即使是HTTPS加密流量,分析设备看不出流量内容,但的请求阶段加密协议SNI头部还是会带上域名。因此,统计与这个IP相关的后续通讯流量,便可知道你的摸鱼情况。

请求的加密内容bytegoofy.com为抖音所使用

图源:作者截图

因此,原则上来说,你在互联网上的访问痕迹就无所遁形,请不要把互联网当成法外之地。

作者:钱俊烨,7年云计算行业从事者,专注安全与合规相关领域

编辑:一人白

— END —

转载内容仅代表作者观点

不代表中科院物理所立场

如需转载请联系原公众号

来源:上海科技馆

编辑:荔枝果冻

1.

2.

3.

4.

5.

6.

7.

8.

9.

最新文章
8种SEO优化技巧超级蜘蛛查
创作高质量的内容时,要确保信息的原创性与实用性,避免复制粘贴他人内容。在内容中融入适当的关键词,并注重内容的结构和排版,
Airtest-Selenium实操小课:爬取新榜数据
1. 前言 最近看到群里很多小伙伴都在用Airtest-Selenium做一些web自动化的尝试,正好趁此机会,我们也出几个关于web
#### 文案生成器免费版:无需投资即可享受智能服务
在数字时代,内容创作已成为多人的日常工作之一。无论是社交媒体运营、广告文案撰写,还是网络小说创作,高效地产出优质内容都是
再看快速排序(QuickSort)
      快速排序是一个十分伟大的算法,作为再一次的学习,写一写快排以及和快排相关的问题。 1.基本的快速排序方
阿里伴侣配合阿里巴巴打造全方位线上推广
在当今竞争激烈的电商时代,企业的线上推广至关重要。阿里巴巴作为全球知名的电商平台,为众多企业提供了广阔的发展空间。而阿里
Python大数据分析&人工智能教程 - Scrapy工作原理详解与实操案例
Scrapy是一个开源的、用Python编写的高性能网络爬虫框架,用于抓取网站数据和提取结构性数据。它是基于Twisted异步网络框架构建
AI智能写作助手:一站式解决内容创作、文章润色与高效写作的全面工具
在信息爆炸的时代内容创作已经成为企业、媒体和个人展现自我、传递价值的不可或缺手。面对海量的信息与日益增强的内容品质需求高
你的站点抗压么?推荐一款超方便的开源压测工具
这里是 HelloGitHub 推出的《讲解开源项目》系列,本期介绍一款标星 17.7k 纯 Go 语言实现的 HTTP(S) 压测工具——vegetaVegeta
【系统架构设计】计算机网络
OSI/RM 结构模型 1977年,国际标准化组织为适应网络标准化发展的需求,制定了开放系统互联参考模型(Open System Interconnectio
全世界规模最大战争排名,第一名居然是清朝时期!
自打人类走上进化这条路,就想着法儿想要证明【一伙人就该被另一伙人支配】。古罗马角斗士时代一方有多大势力,就看他有多少人的