作为学生，大部分时间都在学校，往往手机流量不够用，这就免不了要使用校园 。使用校园 时，你是否注意到有的 站无法访问，或者优酷、爱奇艺等APP看不了视频、玩不了游戏等等。你可能觉得这不就是学校屏蔽了一些 站嘛，没啥大不了。但真的是这么简单吗期就来详谈 络监控背后的运行原理。

引言

事情还得从一个新闻说起，2021年11月16日，一则国美通 批评员工上班摸鱼的消息登上微博热搜，引发 友热议。根据国美控股集团有限公司发布的《关于违反员工行为规范的处罚通 》内容显示，在2021年8月30日-9月3日期间，国美总部针对非工作流量信息进行统计排查后，发现部分员工在工作区域内占用公司公共 络资源从事与工作无关事宜，如：玩电脑游戏、上 聊天、听音乐等。公司对11位员工进行了通 和相应处罚。具体情况如图：

1. 屏幕实时监控：屏幕监控，远程控制。可同时观看16个画面，可全屏查看并远程控制。
2. 聊天记录监控：直接管控聊天工具记录，了解员工工作状态。
3. 电脑屏幕录像：将屏幕活动录制成MP4格式的视频，员工端所有电脑开机自动录制屏幕，可保存在管理端，便于事后查看回放。
4. 程序限制运行：限制员工可访问的程序和 页，规范上 行为，提高工作效率。
5. 禁用USB接口：为了保护企业重要文件，可以设置员工端的U盘不能连接，不能读，不能写。

其中我们比较关心的，聊天记录的监视，也是可以看到的，假设我们在QQ上聊天，会被“管理端”记录聊天内容，如图：

这样类似的产品还有很多，像第三只眼、超级眼、安秉 盾等等。第三只眼和超级眼功能差不多，基本上都是全方位的监控，拿聊天记录监控来说，第三只眼的监控界面如图：

那么采用部署防火墙的方式是否就不知道我们在干什么呢/p>

监控原理与绕过监控

上面第一种方式就比较简单了，因为安装的客户端是以管理员权限运行的，相当于接管了你的电脑，就像以前的木马程序“灰鸽子”一样。至于绕过，这种监控软件安装后是隐藏运行的，在程序和功能列表里也不会有显示，很难被发现。

但是监控软件总归是要运行的，在任务管理器的进程列表里总归是会有痕迹的，不过这种进程往往都是做过处理和伪装的，需要对操作系统特别了解才行，不然辨认不出来。另外，就算知道了是哪个进程，杀死进程也是需要有相应的权限的，如果公司给你的账 是管理员权限的话，那么你可以结束它，这样就不会被监控了。如果不是，那么也可以通过PE格式化硬盘后重装系统，这样一来监控软件100%被清除了。但是不推荐这种做法，因为本机的监控木马会实时向服务器 告状态，直接重装的话，合法木马没有了，在管理员看来，你的机器就一直处于关机或者不在线的状态，然后会再下发一个木马并且警告你。

所以合理的做法是装双系统。想摸鱼时，切换到另一个系统，摸完了再切回去。

我们重点分析通过部署防火墙进行监控的，这也是目前高校和企业普遍使用的方法。

之前有一期有讲到过，上 的三大要素：DNS、DHCP和 关。 络数据包（IP 文）需要经过交换机、路由器、防火墙，最后进入外 。由于上 时浏览 站需要DNS解析，所以浏览历史会被记录，但其实并非如此，因为DNS解析记录在本地是有缓存的，甚至还可以手动添加，所以靠DNS是无法监控上 记录的。但是防火墙具备NAT和应用层协议识别功能，而发送的数据包必定经过 关，这样一来就可以记录下对应的IP和访问的 址，交换机可以记录MAC地址与 口的对应关系，通过IP-MAC- 口来锁定你的工位。这就是防火墙监视的原理。

这样一来，不论你是连WiFi还是插 线，都逃不了被监控的命运。不过现在手机可以设置随机MAC，这样私密性稍微好一点：

Portal 认证不需要客户端，实现原理是用户优先获取 IP 地址，访问某 url 被重定向到 portal 认证页面，输入用户名密码进行认证，完成认证即可访问相应资源，实施简单便捷， 对原有 络环境没有影响，安全性适中，认证通过前可以经过二层交换机。通过这种认证方式，可以实现不需要认证（绑定 IP/MAC）、账 密码认证、单点登录、禁止上 、微信快捷登录以及短信快捷登录。具体认证流程如图：

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22154 人正在系统学习中