监控上网时间

第一篇:监控上网时间

关于上班时间上网监控管理办法 因近段时间上网打开网购、电影视频的人员很多，造成网速非常 缓慢，影响工作进度，效率低下，促成公司不正之风气，对公司和个 人发展及为不利，为了杜绝此种现象，做好监控工作，特制定如下办 法

1、上班时间不允许打开与工作无关的网页，如

1.1 上班时间使用迅雷、BT、电驴、QQlive、PPS 影音、PPlive 等 P2P 软件进行下载与工作无关的软件、文件或看与工作无 关的网络视频； 1.2 上班时间使用炒股软件进行炒股； 1.3 登录 QQ、MSN、飞信、skype 等聊天软件进行无关工作的网聊 1.4 上班时间玩 QQ 游戏、开心网游戏、联众游戏、各种网页小游 戏等; 1.5 上班时间网购、团购； 1.6 上班时间写微博、博客等； 1.7 浏览无关网站，尤其是一些挂马的色情、QQ 空间、反动、暴 力网站等。

2、监控对象：公司全体人员 3、如果发现以上人员上班时间打开与工作无关的网页，第一次警告， 第二次罚款 10 元，第三次罚款 20 元、第四次罚款 30 元依此类推 4、罚款金额处理：直接从工资中扣除，做为公司的活动经费 5、监控方式：每个人都有监督的权力，只要一发现其他人员上网从 事与工作无关的事告知人事部，查核确有此事只接按此办法实施， 人事部不定期检查或检查电脑 6、生效日期：2012 年 11 月 20 日 人力资源部 2012 年 11 月 19 日 

第一篇:监控上网时间

网曝泸州医院药房员工上班时间玩游戏，院方回应:实习生已 辞退；武昌社保女员工上班玩 游戏 单位称其为实习生；广东 11 机 关职工被曝上班玩游戏 7 个回应"系司机"； 广州事业单位员工上班看 视频玩游戏，最多达 15 小时；济南机关工作人员在上班时看电影、 玩游戏、炒股票、看电视，有的工作人员看到暗 访人员前来，立即 关闭游戏、视频；而有的工作人员被发现玩游戏、看电视后，竟然没 有任何反应。虽这些只是被曝出来几例，但却在一定程度上反映了部 分机关工 作人员“庸懒散”的作风以及管理不规范的现状，需尽快寻 找解决途径。我们现在来了解一下 iMonitor 上网时间控制软件的功 能，希望能对企事业单位工作 人员上班时间玩游戏、上网、炒股等 现象的规范管理有所帮助。

首先，来了解 iMonitor 上网时间控制软件的图表统计功能， iMonitor 可通过图表反映员工在哪些网站花费多少时间，具体浏览的 哪些内容等，如图： 其次，说说 iMonitor 上网时间控制软件的工作统计功能，iMonitor 可以记录每台员工电脑的开机时间，运行总时间，空闲时间，上网时 间，聊天时间，文件操作次数，打印次数等；如图： 再次， 我们说一说 iMonitor 上网时间控制软件的控制功能， iMonitor 可以阻止 所有的 HTTP 和 HTTPS 网站，以黑名单机制在特定的时 间阻止特定的网站。例如，我们对 QQ 空间进行阻止，首先我们在网 站黑名单中找到预定义的 qzone.qq.com， 双击来到“修改设置”窗口， 在这里我们可以选择“星期”、 “完全禁止网站”或者“时间段限制”。

如图， 我们选择星期一到星期五 为监控生效日，生效日内 8:00 到 12:00,14：00 到 17:30 为限制时间段，这既意味着周一到周五的上 班时间不能访问 QQ 空间，其他网站的设置办 法同此。 如果我们需要对某个应用程序或者软件进行时间控制，可以采 取同样的办法。例如下图，我们对阿里旺旺的使用时间进行设置，针 对程序除了可以控制监控日期和时间段， 还可以控制其每日使用总时 间。 

第一篇:监控上网时间

电信网页访问监控原理分析 电信网页访问监控原理分析 近段时间，一个在电信上班的朋友经常说，他们有办法知道一个 NAT 网关内部的电脑主机 数， 而且能够记录里面任何人的上网记录， 听得我是心痒痒的， 可问他方法， 他又死活不说， 郁闷。今天比较闲，脑袋里又想起了这事，想来想去，认为电信很可能采用欺骗客户端的方 法，让客户端的信息首先发到监控主机，然后再发到目标服务器。

为证实推断是否合理，抱着试试的心态，立即在自己的机器上做了以下实验，步骤如下

1. 2. 打开机器上的科来网络分析系统。

添加一个图 1 所示的过滤器，为的是只捕获我的机器（192.168.0.88）和网关 （00:D0:41:26:3F:9E）以及外网的数据通讯，即不捕获我与内部网之间的通讯。 （图 1　 设置过滤器） 3. 4. 5. 为减少数据干扰，在关闭本机上运用的其它应用程序后，开始捕获。

在本机上访问一个网页，这里以访问 www.colasoft.com 为例。

在页面出来后，停止捕获，并开始分析系统捕获到的数据包。 　　　　　　　　　　　　　　　　　　　 Page 1 of 9 的矩阵图） 在图 3 中，发现了一个奇怪的地址 220.167.29.102，由于我此次的操作仅仅只访问了 www.colasoft.com，所以是不应该出现这个地址的。这个 220.167.29.102 引起了我的 注意，会不会这个地址在作怪呢？ 7. 再切换到数据包视图，发现客户端（192.168.0.88）的确存在和 220.167.29.102 的通讯。 奇怪了，为什么 192.168.0.88 会主动和 220.167.29.102 进行通讯呢，会不会是有人在 伪造数据包呢？为确定是否存在伪造数据包的情况，我强制显示数据包的 IP 层摘要信息， 在图 2 所示的数据包视图中，单击右键，在弹出的菜单中选择“数据包摘要->IP 摘要” ， 查看这些数据包 IP 层的信息，如图 4。 （图 4　 通过 IP 层摘要查看 220.167.29.102 的伪造数据包） 从图 4 可知，TCP 三次握手的服务器返回数据包（编号 2）的生存时间是 48，而第 5 个数 据包的生存时间却是 119，同一个服务器返回的两个数据包生存时间差别如此之大，表示 它们经过的路由存在较大的差异，这与正常通讯的状态明显不符，由此我们怀疑编号为 5 的数据包可能是某个主机伪造的。

查看该数据包的解码（图4中间，红色圈住部份） ，发现该数据包是由220.267.29.102发 CSNA 网络分析论坛 　　　　　　　　　　　　　　　　　　　 Page 3 of 9 ）的正常响应，它这样做的目的是获取客户端（192.168.0.88）传 输的数据信息，其获得的信息如图4中的右下角红色圈住部份，这是一个base64的编码信 息，其具体的信息我会在后面进行详细说明。　 8. 由于客户端（192.168.0.88）被 220.167.29.102 伪造的数据包 5 欺骗，所以它向 服务器（www.colasoft.com）确认并发送一个关闭连接请求的数据包，也就是第 6 和第 7 这两个数据包 9. 第 9 和第 10 这两个数据包，也是 220.167.29.102 伪造的重置连接数据包，它的目 的是欺骗客户端（192.168.0.88）关闭连接。

10. 接着，客户端（192.168.0.88）主动向 220.167.29.102 发起 TCP 的三次握手，即 第 8,11,12 这三个数据包，以和 220.167.29.102 建立连接。

11. 13,14,15,17 这几个数据包，是客户端（192.168.0.88）和 220.167.29.102 之间 的数据通讯。从第 15 这个数据包的解码中，可以清楚地看到 220.167.29.102 将重 新 将 访 问 重 定 向 到 www.colasoft.com， 从 而 让 客 户 端 （ 192.168.0.88 ） 向 www.colasoft.com 再次发起页面访问请求，以让客户端（192.168.0.88）完成正 常的网页访问，其解码如图 6。 CSNA 网络分析论坛 　　　　　　　　　　　　　　　　　　　 Page 4 of 9 ）发起三次握 手数据包。

13. 20,21,22 是三次握手成功后，客户端和服务器正常的 HTTP 通讯数据包，也就是传递 客户端所请求的页面，这里是 www.colasoft.com。

14. 查看会话，选择 TCP，发现此次的网页访问共连接起了 3 个连接，如图 7。这三个连 接的 TCP 流重组信息分别如图 7,8,9，通过流的重组信息，我们也可以较为清楚地看 到客户端和服务器（www.colasoft.com） ，以及客户端和 220.167.29.102 之间的 数据通讯信息。 CSNA 网络分析论坛 　　　　　　　　　　　　　　　　　　　 Page 5 of 9 发起GET请求，但从服务器端返 回的数据可知，返回服务器是220.167.29.102，且带了一串base64编码的参数， “ABcHJvdmluY2VpZD04Jm随机删除部份 MTIwNDExJnNvdXJjZXVybD13d3cuY29sYXNvZnQuY29tLw==” ， 对其进行反编译后的内容如下

“ provinceid=8&cityid=2&classid=1000541&username=adsl拨号用名 &sourceurl=www.colasoft.com/” 注意：上面的红色删除部份和adsl拨号用户名已经过笔者更改。

这里很清楚了吧， 220.167.29.102 主动欺骗客户端让客户端告诉 220.167.29.102 自己 的相关信息。客户端在收到此请求后，由于不知道被欺骗，所以它会立即主动和 220.167.29.102 建立连接，并发送相关信息给 220.167.29.102，从而导致信息被电信 监控，让电信可以轻易的知道我们的网页访问情况。 CSNA 网络分析论坛 　　　　　　　　　　　　　　　　　　　 Page 6 of 9 ，即用户需要访问的页面。 CSNA 网络分析论坛 　　　　　　　　　　　　　　　　　　　 Page 7 of 9 第二次连接的 TCP 流信息） 图 9 即是客户端在被 220.167.29.102 欺骗后， 再次向 www.colasoft.com 发起 GET 请 求，且服务器正常返回数据的信息，这让电信在不知不觉中完成了对用户网页访问的监控。

至此，访问 www.colasoft.com 的过程全部分析完毕。从该分析中，我们明白了电信监控 我们普通用户访问网页的具体方法，其访问流程如图 10 所示。 CSNA 网络分析论坛 　　　　　　　　　　　　　　　　　　　 Page 8 of 9 发起正常的访问网页请求。

监控服务器（这里是 220.167.29.102，不同地方该服务器可能不同）就立刻向客户 端发起一个伪造数据包， 这个数据包的源地址被伪造成客户端请求的服务器地址， 同时 该数据包的内容是预先设定好的。

客户端主机在收到该数据包后， 以为是服务器端返回的， 于是它根据收到的伪造数据包 的要求，主动向 220.167.29.102 发起连接，并向 220.167.29.102 传输一些客户 端的私人敏感信息，如客户端的拨号用户名、访问的网址、NAT 内网主机数等信息。

220.167.29.102 再次将访问重定向的指令发给 192.168.0.88。

客户端根据第 4 步中收到的指令， 再次向 www.colasoft.com 发起正常的访问网页请 求。

www.coalsoft.com 将客户端请求的页面传给客户端（192.168.0.88） ，让客户端成 功完成网页访问。 3. 4. 5. 6. 以上便是电信网页访问监控原理的简单分析过程，注意实验的环境是内部通过 NAT 方式， 并使用 ADSL 拨号上网，对于其它的连接方式以及其它的 ISP 接入，由于没有相应的环境， 并未进行测试。 CSNA 网络分析论坛　 菜鸟人飞 2006 年 4 月 21 日 CSNA 网络分析论坛 　　　　　　　　　　　　　　　　　　　 Page 9 of 9 h作文ttp://www.csna.cn