认真看了楼主的pdf,编辑的不错,辛苦了!
尽管楼主是成都人,科来公司是成都的,而本文的分析工具和访问的网站也都是科来的,但还是对楼主的观察力和分析力很佩服,这里只是想对里边的一些小细节提个疑问:
1,由于220.167.29.102这个地址是访问colasoft.com返回的,除了电信伪造外,也有可能真的是此网站发过来的,意图是统计一些访问数据,所以楼主是否有查看此网站的源代码,看看是否有指向220.167.29.102:5001这一内容呢?不过现在查已经没意义了,因为此网站有可能早已了代码.
2,想要证明是不是电信的伪造包,以楼主的分析能力,肯定会考虑特殊和普通因素,也就是访问多个常见的大网站,如果都有220.167.29.102:5001出现,那就很能说明问题了,如果楼主的确测试过多个网站,那么这个很有力的证据楼主忘了在文中提出来.
3,楼主文中提到,访问主机会向220.167.29.102:5001发送包括username=adsl拨号用名等内容的资料,而楼主又提到自己不是拨号用户而是通过内部NAT上的网,那么楼主能否说说对这个"adsl拨号用名"的内容是否眼熟?
4,楼主提到这就是电信获悉内网用户数的原理,可是在假设电信真的发欺骗包的前提下,如果内网不同用户同时访问某网站,电信如何通过获取的adsl用户名和其他一些有限信息来判断用户数呢?
