复工了,意味着居家办公(摸鱼)的日子要结束了,一时竟不知几家欢喜几家愁。
而上海的“入梅”更是让上下班的通勤异常艰难。
地铁进站口密密麻麻的雨伞
图源:上海地铁shmetro
天时地利,一个都没占上,上个班未免也太难了,但更“难”的可能还在后头。
上班摸鱼被“抓”
今年春节前后,两篇因摸鱼被公司发现的报道在网络引发热议。
一篇是某家电集团的内部通报,其中详细列出了员工在工作时间访问非工作相关内容的流量情况,另一篇报道则是一员工在工作时间投递简历一事被公司安装的行为管理产品发现。
通报部分内容图源:都市快报
网传监控系统图片
图源:广州日报
一时间,关于摸鱼与反摸鱼的讨论甚嚣尘上,同时引出一个问题,老板们是如何发现员工上班时在摸鱼的?
两种主流的
企业网络管理方案
目前,主流的企业网络管理方案有两种,一种是安装行为管理软件,另一种是进行流量特征分析。
在2015年之前,比较流行的是上网行为管理软件。相较之下,它的含金量较低,具体的操作方式就是通过在公司的办公电脑上安装相关监控软件,以便记录摸鱼行为。
大致原理是通过定期截屏、进程监控、流量记录、文件变动来对员工电脑的使用情况进行收集。
但随着大家的电脑技术和操作系统安全性的提升,这种类似木马的软件很容易被员工卸载。同时,截屏的行为也极易引起法律纠纷。
随着智能手机的兴起,这种方案遭受了点挫折。安卓手机如果不Root (提升权限,使手机使用者或部分软件有更高的权限) 将无法执行监控行为,苹果手机更是如此,存在录屏与监控麦克风的情况时,系统左上角会有高亮提示。因此,这类软件也就逐渐被淘汰了。
另外一种技术方案为流量监控。通常情况下,所有的上网行为都需要通过网络设备到达公网,而且现在公司基本上都会提供无线网络供员工使用。在这期间产生的所有网络流量,都会经过网络设备流向互联网,因此只需要在网络出口设备中做流量镜像,将公司内流入流出的数据流量复制一份到分析设备,就可作上网行为分析之用。
行为管理产品配置
图源:深信服 AC 上网行为管理 白皮书
这里解释下,我们一般将公司内网称局域网,局域网外部分为互联网 (公网)。 互联网与局域网之间的设备称路由器 (Router,一般家庭中的无线路由器实际为路由器加交换机功能的混合产品,需要与企业用的路由器区分开来)。
可以把路由器理解为一个指路人,他维护着一张路由表,告诉局域网内出向的流量应该如何走,互联网进入的流量如何到达局域网中的那台设备。
路由表,告知流量如何走
图源:作者截图
当然,局域网内的设备不可能全部都接到路由器上,一般的上网设备都会接入交换机,交换机维护着一张MAC表格,表上有具体的MAC地址 (网卡的硬件地址) 与IP的对应关系。
MAC表,记录IP与实际设备的物理地址
图源:作者截图
高阶的商用产品带网管功能,可配合802.1x协议,对接入的有线与无线客户端做身份验证。验证成功的客户端将在管理界面直接关联相应的设备,从而与人关联,以便做行为统计。
如果你是Windows电脑,可以试着做一个小实验。在键盘上同时按住Windows键 + R键,电脑会弹出一个输入框,在输入框里输入cmd。然后在出现的黑色框中输入 “ipconfig /all” 然后按回车键,你会看到你当前电脑的IP地址,其中有一项物理地址便是你的MAC地址。
原则上,你的MAC是全球唯一的。你也可以继续使用命令“arp -a”,查看当前你局域网中的“邻居”的IP地址与物理地址的对应表。
如何判断摸鱼行为?
我们回到摸鱼行为管理这部分内容。在上面的介绍中,我们已经知道了公司如何将设备与你关联的,那么又是如何判断你在摸鱼的呢?
如上文提到的行为管理产品配置图,公司只需要在路由器或交换机上将进入流量复制一份便可 (一般实操为汇聚交换机,小公司网络设备简单在此不提) ,这项技术叫旁路镜像。
如果把进出流量比做寄出与寄入的信件,旁路镜像实际便是把你的信件复制一遍后,给到分析设备,再由分析设备慢慢“看”。到这一步,你的网络行为就赤裸裸地展示在老板面前。
现在我们来看看,分析设备是怎么“看”你的流量的。你的流量到达分析设备后,根据不同的协议,设备开始做行为判断或者简单的分析。 互联网之间的流量都是按标准的协议来传输的,如常见的HTTP超文本传输协议(就是访问网站的协议) 。
下图是网络流量分析工具Wireshark的截图,我们可以明晃晃地看到笔者刚刚打开的是上海科技馆的官网http://www.sstm.org.cn/。
访问的流量
图源:作者截图
因为上海科技馆未使用HTTPS,所以网站的回复将明文展示给分析设备。
回复的流量
图源:作者截图
那么问题来了,如果用户访问的是加密网站,或者使用的是手机APP流量时,还会被发现吗?
答案是肯定的,虽然分析设备不会知道你访问的具体内容,但会知道你有过访问行为,并且可以统计流量。
这里我们需要了解一个协议DNS。我们在互联网上的地址为公网IP地址,为了访问方便与IP地址的更新,各网站与APP的提供者很少直接提供IP给客户访问,因此会提供一个别名 (即域名) 给到客户。
域名与IP的对照关系
图源:作者截图
从图中可以看到的是,www.baidu.com实际解析在180.101.49.12与180.101.49.11这两个IP上。所以,我们实际访问http://180.101.49.12/打开的也是百度。
客户请求时,操作系统会问DNS服务器这个域名的IP地址,这个过程的请求也会被记录。最终得到的IP即是实际提供服务的地址。
我们在此看到,打开微信后,应用询问res.wx.qq.com的IP如下,后续与其的相关流量却被认为是使用微信的流量。
图源:作者截图
另外当客户打开抖音,监控会发现从如下DNS查询过程中发现实际的IP地址 (另外发现live.douying.com抖音直播使用的是阿里云的CDN加速) 。
图源:作者截图
当然DNS配合域名监控只是方法之一,即使是HTTPS加密流量,分析设备看不出流量内容,但的请求阶段加密协议SNI头部还是会带上域名。因此,统计与这个IP相关的后续通讯流量,便可知道你的摸鱼情况。
请求的加密内容bytegoofy.com为抖音所使用
图源:作者截图
因此,原则上来说,你在互联网上的访问痕迹就无所遁形,请不要把互联网当成法外之地。
作者:钱俊烨,7年云计算行业从事者,专注安全与合规相关领域
编辑:一人白
— END —
转载内容仅代表作者观点
不代表中科院物理所立场
如需转载请联系原公众号
来源:上海科技馆
编辑:荔枝果冻
1.
2.
3.
4.
5.
6.
7.
8.
9.