抓包分析360浏览器和360搜索配对使用的安全性-WEB服务端分析

 

接上文 抓包分析360浏览器和360搜索配对使用的安全性-环境部署

根据:“360搜索会通过360安全卫士和360浏览器将用户平时浏览网页的信息反馈给360的搜索爬虫服务器,然后再由爬虫对相关信息进行抓取,因此造成许多网站的私密内容被360搜索引擎抓取到。”并且时间是2小时间。在实验的开始10分钟内,做了三次访问、一次搜索,结果显示如下:

clip_image002

搜索的前三名:

clip_image004

根据说:”时间是2小时“,也就是说,360浏览器在访问一个网页后会通知360搜索爬虫,然后搜索爬虫会在两2时左右来抓取服务器上的网页,为了实验的准确性,我用了更多一些时间,差不是是7小30分,然后进行搜索:显示如下:虽然搜索顺序有了变化,但并没有搜索到我那台服务器的那个特定网络,也就360爬虫并没有抓取我服务的网页,但没并不能说明360浏览器没有通知360爬虫,360爬虫没有来过我这台服务器,这就要求分析IP会话,看在这7小时30分内,有没有360所属的IP或域名访问过我这台服务器。

clip_image006

以下是在7小时30分内所产生的所有IP会话,总共有11条。

clip_image008

  我们再进行细分,先看TCP会话:我们看到前三条相同IP使用HTTP协议,端口:80,正好是我三次客户端浏览器访问(时序图1),IP地址是联通ADSL;其中有四条IP使用了MSRDP协议,端口3389,很显然,这是有人尝试连接Windows远程桌面。其中三条用了Telnet协议,端口23,是有人进行了远程登录尝试;这几个协议,和IP,显然不会是360爬虫,那么看剩下的两条IP:221.204.253.107:22,SSH协议,查了一下 www.llcnc.net ip翻查域名 221.204.253.107,是属于山西省太原市 联通的一条IP,不是360的IP,况且ssh协议是加密通信过程的,从时序图2上看,没有完成一个TCP的通信;还有最后一个IP最可疑:94.113.253.71:8080 HttP Proxy协议,这是一条来自捷克 的IP,从时序图3可以看到,它也没有完成TCP三次握手,也可以证明不是360爬虫服务器。这总共是10条IP,从IP总会话看,还少一条IP,这条是一个UDP的会话,如图:UDP会话图。

clip_image010

时序图1:

clip_image012

时序图2:

clip_image014

时序图3:

clip_image016

198.61.219.166:SIP协议,这是一条来自美国的IP,看一下SIP协议的定义:SIP(Session Initiation Protocol)是一个应用层的信令控制协议。用于创建、修改和释放一个或多个参与者的会话。这些会话可以是Internet多媒体会议、IP电话或多媒体分发。会话的参与者可以通过组播(multicast)、网状单播(unicast)或两者的混合体进行通信,好像它和语音有更多的关系。

UDP会话图

clip_image018

  再看看IP的分布:

clip_image020

再看一下全局日志,我们看到,只有Get,也就是下载的信息,没有上传的信息。

clip_image022

  至此我们可以说,360浏览器不是打开网页就去报告给360搜索爬虫,让它来抓取;虽然,我只是分析了一个情况,但至少不像传的那样邪,让大家都不敢开服务器营业了。

附件1:对360的一些说法:

clip_image023