转载自公众号：freebuf

序

只分析技术不讲对错，也给一些规避方案。

写这个文章呢，只是好奇在某职场APP上很多人好像并不知道，PDD是怎么查到的。我个人思考来说有两种方向可以实现：

一种是技术+设备

一种是社工

图片

一、纯技术分析

网上其实很说查监控摄像头，缩小检查范围等，其实真不用那么麻烦。因为早在2009年我就接触过一种国内特色设备：上网行为管理。

图片

目前根据网上公开的信息，某APP也说保护用户信息，但是要看具体用户信息泄露的来源是来自用户自身网络、还是某APP这一侧。

因为我个人直觉PDD这样体量的公司不可能没有上网行为管理这种考量。我个人思考大概率用户信息泄露来自终端用户公司内网络。

1.1 什么是上网行为管理

有兴趣可以百度，我这边简单说下

上网行为管理主要功能：

A:用网络内用户发帖内容审计 如邮箱、QQ、微信、APP 信息等 （有些特定加密信息SSL需要装插件 客户端限制可设置有插件客户才能上网）
B:对一些特定应用进行网络限制 如跟工作无关应用如：视频网站、游戏、迅雷、QQ等可以做到精准限制流量和完全限制访问等。
C:禁止访问特定域名或IP，也可以根据非特定时间开放访问。

图片

图片

图片

综上所述：

1、应用层精准流量控制或禁止访问。
2、用户日志审计功能。
3、包括移动端。

1.2 上网行为管理部署方式

主流部署方式：

串行部署，就是串接出口网关路由上，或者由上网行为管理设备充当网关出口。

图片

镜像部署，镜像部署就只做监控日志不做上网控制。（跟服务器日志审计 数据库审计设备类似但只针对一般客户端）

图片

我这边画都比较简单 很多实际网络都可能是双线，需要做汇聚或者两台上网行为管理设备。

二、可实现的产品

目前主流安全厂家都有商用上网行为管理，但技术成熟度而言，国内上网行为管理相对好有两家、深信服、奇安信（以前叫网康科技，现在被收购归并到奇安信ICG产品中）。有兴趣也可以找厂家咨询 白嫖下用户手册和产品功能。

然后白嫖党和大熊就要问了：有没有开源免费来让我感受一下？

嗯有的，将上网行为管理开源部署到小公司成本你只需要某宝购买一个软路由硬件+装上上网行为管理系统即可。（一般不超过600 也有经典D525 系千兆软路由可供练手）

image.gif

如果只是虚拟机VM玩玩 则不需要硬件成本。

2.1开源或免费上网行为管理系统推荐

WFilter-NGF 50客户端以下免费

十年以上的老产品了（有中文版），本土研发，走国际路线，国内市场推广能力不强，用户大部分在国外。专门研究网络监控和协议分析。专注上网行为管理功能，在Web过滤和协议过滤等上网行为管理的方面做的很扎实。缺点是没有网关杀毒和主动防御功能。

图片

Panabit 有免费版 无限制客户端

我第一眼看到这个公司logo，嘶，以为是安布雷拉。

图片

image.gif

系统本身基于freebsd 架构，本身除软件之外也卖硬件，软件免费。最新为9.2

图片

图片

爱快路由系统

本土产品，软件全免费，靠卖硬件挣钱。免费版本各种坊间传闻都有，就不一一表了。基本的路由功能都有，不过上网行为管理做的比较鸡肋。爱快的系统个人认为比较偏向做局域网无线部署方案。企业管理这块不怎么来事。但是好在系统是免费的，这个比较受欢迎。

图片

三、如何绕过或不受上网行为管理监控。

这边提供两个思路。

A：移动端使用自身流量 或用自己热点上网

这个是最容易的基本有意识就可以。但是还有一些更严格的地方自建热点一定范围内也会告警。（比较极端地方）。

B：采用上网行为管理不识别的方式进行上网 则可立即绕过

简单说就是全局加密梯子之类的东西， 只要网络访问出你自己网卡时候进行了加密，设备无法做识别，上网行为管理也就无法对你进行限制。记录可能有但是不知道你访问了什么。

举个例子 比如某游戏网站被拦截不能访问。

image.gif

开启某全局VPN 之后就可以访问了 （VPN 需要支持一定强度的加密传输）。

image.gif

图片

四、社会工程学-话术实现

社会工程学应用有一批隐藏的高手，那就是看似平时无害的HR们，经常会用各种话术套路你，比如调薪，调岗，优化等。

4.1 一看就是老社工

PDD被开的这个员工还是太年轻，被HR一诈就承认了。其实只要咬死不是自己发的就行了，就算有上网行为管理证据也没人证明那时候是不是你用手机或者被黑客植入木马啥的。

毕竟HR也没法证明这条帖子就是你发的.社会经验太少，经不起盘问大师盘问，被这种老油条HR敲诈几句就自己招了一切。确定不是太美搞得自己老脸一红？就招了？

PDD这个被开除员工从被约谈到离职30分钟的时间，所以可以肯定HR是通过监控视频和员工里的线人定位到了一批人，然后挨个会对这批人进行约谈。你以为他知道是谁发的吗？他也不知道，他需要通过约谈诈出来发帖的那个人，核心话术：我们已经发现XX上的帖子是你发的了。

当然你在用什么APP 做了什么坏事 你周围同事也可能知道 说句实在话，大家需要提防身边的同事，是某些体量比较大的公司，勾心斗角也很常见。HR是布了很多线人的，你的同事很有可能为了一丁点小利益就出卖你。

结合上面行为管理的数据+个人承认 基本铁证如山。

防人之心不可无，害人之心不可有。

我走过最长的路 就是HR套路相信这点很多人面试或工作中都有这样的感觉。

还有很多套路就不这一一描述了。

温馨提示

特别温馨提醒一句。

09年就有了上网行为管理，基本现在主流高校，企事业单位都会有上网行为管理部署，谨言慎行，耗子尾汁。只是数据量比较大难筛而已。真要出事肯定能把你翻出来。

原文链接：https://mp.weixin.qq.com/s/coRsNLMT_FAr6xSHwPgOUg