V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
n3hatv2
V2EX  ›  信息安全

QQ 聊天记录里的 http url 被公司监控,如何做到的?

  •  
  •   n3hatv2 · 2017-05-25 15:22:20 +08:00 · 5557 次点击
    这是一个创建于 2741 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事情是这样的,本人在调试一个云端 webserver 的时候,在 qq 上将 url 发给一个朋友点击,当我把 url 一发,后台很快就看到有一次请求,如果是人为点击不可能有这么快,后来问了朋友他并没有点击,于是又做了几次实验,只要是给 QQ 好友发 http 链接,后台立马收到上海电信的 ip http get 请求(以下统一称监控请求),直觉告诉我被监控了,为了进一步证明,我通过虚拟机的 xp 和另外一台 window 10 电脑做实验,只要是 IE 或者在 QQ 对话框发起一个 http 请求,后台都会收到上海电信 ip 请求,从 IP 分布来看,属于同一组网;

    但我通过本地 linux 主机的 chrome 发起请求,后台没有收到监控请求,但如果通过 Linux 主机里 xp 虚拟机里的 QQ 或 IE 进行访问,能收到。

    公司网络拓扑是: 总部在上海,我在某个外地研发中心(简称 C 地),都有各自宽带出口,两地之间通过 VPN 互联,从 IT 反馈来看,我所在研发中心并无审计设备,只有一台防火墙。 通过分析监控请求的 header,useragent 是随机的常见浏览器,居然还有 mac 的,应该是从 useragent 池里随机选取的。

    请教懂的人几个问题:

    1. 是否可证明或如何进一步证明 windows 下 qq 或 ie http 被监控;为何监控的 ip 不在 C 地,而是来自上海(公司总部也在上海)?通过查询公网 ip,监控 ip 并不属于上海公司总部的公网 ip,也就说明是在云端,而不是公司内部的审计设备。
    2. QQ 通讯不是加密了吗?通过出口网或转发路径旁路抓包,可以提取 QQ 聊天记录里的 http url ? 这是我最大的疑问,我测试的 windows 环境没有装公司任何软件,也未加入域管理,安全更新也及时,基本排除客户端木马手段。
    3. 有没有什么手段可以把监控设备进一步画像?比如 nmap,traceroute 或者在 http server 里加 debug ?
    4. 为什么 Linux chrome 的没有监控现象,对于数据包而言,linux 和 windows 在数据包上并指纹,要说有区别,只能是 useragent 了 ,既然都能提取 http 了,干嘛还针对 useragent 做筛选?
    5. 既然都提取到 http url 了,为何还要请求一次?这不很容易暴露吗?还是说只对未知 url 做请求?我的 webserver 是通过公网 ip 来访问的。

    分析的意图仅仅是好玩,本人并无违规行为,就是想看看是如何做到对 qq 聊天记录里的 http url 提取的,另外我司并不是互联网公司,也没有 web 项目,我仅仅是个人兴趣调试 web 发现了这个现象,所以排除公司的业务监控。 大家帮我分析分析,也探讨下如今的上网行为监控技术。

    第 1 条附言  ·  2017-05-25 15:57:16 +08:00
    注意看原文,IE 浏览器访问也会多一次来自上海电信 IP 的请求,所以基本排除是腾讯的行为,之所以强调 QQ,是觉得抓取浏览器的 http 请求很容易,但被 qq 消息加密后的 http 链接也能提取就很奇怪了。
    16 条回复    2017-05-26 03:42:17 +08:00
    hcymk2
        1
    hcymk2  
       2017-05-25 15:26:33 +08:00
    这个可能 QQ 做的吧.QQ 还可做链接预览.
    jerryouyang
        2
    jerryouyang  
       2017-05-25 15:27:32 +08:00 via Android
    应该是 QQ 服务器发的请求。按照他们的说法是为了用户安全考虑,防止钓鱼连接。
    pypy
        3
    pypy  
       2017-05-25 15:28:46 +08:00
    推测是企鹅公司访问的,用于数据分析。至于分析什么,可以自由发挥想象。
    ytmsdy
        4
    ytmsdy  
       2017-05-25 15:33:31 +08:00 via iPhone
    我的猜测是这样,你朋友有没有装过什么腾讯电脑管家或者 360 电脑管家?
    如果是,很有可能是因为你朋友的电脑访问了这个 url 以后,电脑管家把地址发送到后台,然后电脑管家的后台服务器发送的请求。
    这种情况我也碰到过,自己在调试网站的时候看 log,我访问一次,过几秒以后,就会有另外一个 ip 访问!
    这是是一个非常恐怖的事情!
    5linwei
        5
    5linwei  
       2017-05-25 15:33:36 +08:00
    首先 QQ 监控你 URL 是必然的,请问楼主如何推断公司监控你。这个段的逻辑是空的。。。。
    ys0290
        6
    ys0290  
       2017-05-25 15:37:48 +08:00 via iPhone
    问腾讯
    halden
        7
    halden  
       2017-05-25 15:40:54 +08:00 via iPad
    链接预览,我觉得你用 iMessage 发也有一样的效果,楼主可以验证下
    gdsagdada
        8
    gdsagdada  
       2017-05-25 15:50:50 +08:00
    链接预览
    n3hatv2
        9
    n3hatv2  
    OP
       2017-05-25 15:53:42 +08:00
    @hcymk2 “只要是 IE 或者在 QQ 对话框发起一个 http 请求,后台都会收到上海电信 ip 请求” 注意,IE 浏览器的访问也有同样效果,会多一次来着上海电信 IP 的请求,如果是腾讯自己监控,应该不会这么干。
    crab
        10
    crab  
       2017-05-25 16:01:40 +08:00
    这个我测试过,是腾讯在监控。而且不只监控一次,只要你回过去又看聊天记录,又会请求。并且随机一段时间又会请求。
    jiangzhuo
        11
    jiangzhuo  
       2017-05-25 16:13:15 +08:00
    我在 telegram 上发给 telegram,并没有被请求(看来 telegram 娘不想理我
    jasontse
        12
    jasontse  
       2017-05-25 16:25:28 +08:00 via Android
    腾讯的网址检测,直观来说就是链接前面那个盾牌。
    learnshare
        13
    learnshare  
       2017-05-25 16:33:16 +08:00
    腾讯的安全检查
    mrhhsg
        14
    mrhhsg  
       2017-05-25 16:45:50 +08:00
    就是链接预览啊。。。楼主
    v1024
        15
    v1024  
       2017-05-25 18:19:34 +08:00 via iPhone
    在本地干净的虚拟机里用 curl 请求看下还有吗
    LuoLuoKaka
        16
    LuoLuoKaka  
       2017-05-26 03:42:17 +08:00 via Android   ❤️ 1
    https://www.v2ex.com/t/176429
    是腾讯自己家的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3624 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 11:02 · PVG 19:02 · LAX 03:02 · JFK 06:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.