domowang 2013-09-25
早上策划组的同事跑过来说他在使用GM工具给内网游戏账号添加道具成功之后的半小会自动多出一份,询问是不是服务器出了问题。
GM工具是基于HTTP协议请求游戏服务器去给账号添加道具的,所以我直接检查access日志发现如图:
总共有4条请求日志,其中两条日志是来源于101.226.x.x网段的。但这并不是来源于我们公司的网段请求,所以马上可以断定出不是服务器程序引起的问题。
仔细观察会发现每一条由GM工具发出的请求会在30分钟后被外部IP重新请求一次,很诡异地这些外部IP来源于同一机房。很明显使用GM工具的电脑里的上网记录是被监控并收集上传到远程服务器了,并且收集记录的远程服务器会在间隔一定的时间后重新进行请求进行分析。
讨论中,通过另一位遭遇到此问题的同事我寻找出了他们产生问题的共同点,无一例外都安装了《腾讯电脑管家》。下图是对腾讯电脑管理的连接监控,被我抓到了这一条TCP的外部短连接,只要用户在浏览网页的时候,这条连接都会被打开,很明显就是它了。
通过wireshark抓取这条连接的数据包,连接建立后会往服务器发送数据包,因为是HTTPS协议,所以数据包是加密过的,但很明显数据包的内空就是你浏览网页的各种表单参数和请求参数。
这就是所谓的不收集用户信息,不监控上网行为绿色软件,不管你信不信,反正我不信!