ICSI Netalyzr 網路中立性測試

ICSI Netalyzr這套工具,這是由(International Computer Science Institute)加州柏克利分校的國際計算機科學研究所開發的網路中立性檢測工具。

開發目的是為了瞭解全球ISP對於網路中立性的的介入程度,至今全球已有40萬人參與過此 項研究測試,更在今年推出android版本的測試工具讓手機用戶也能知道無線網路是否有受到ISP的干擾。

使用時會先看到，畫面左上方檢測順序「start代表開始使用. Analysis代表網路架構分析. Results代表網路檢測出的結果分析」。

畫面中有三個指示圖塊各代表「第1個圖塊會說明為何要使用Netalyzr. 你是否覺的網路有受干擾或是網路異常的情形. 第2個圖塊會說明如何依序測試你的網路架構. 第3個圖塊會說明你所處於的網路環境是否有異常或有受干擾.」畫面中會有一個google play的連結，將會幫助你連結到google商店，安裝android手機版的Netalyzr，測試你所處的網路環境是否受到干擾。從現在才開始進入分析階段，這時畫面會需要你安裝一個名為Start的java小程式，方便你執行接下來的分析階段。當你安裝後，畫面下方會出現Start Analysis「開始分析的字樣」。當你按下這行字時，就會開始進行分析你所處在的網路環境，並帶出以下章節分析所需注意的事項，以報表的方式列出詳細的網路狀態。



分析結果說明
本機測試

第1階段的本機測試分為四種，分別為NAT測試，本機網路卡測試，本機DNS檢測，NAT是否支援UPnP。 一般用戶所使用的ip分享器，其實就是一台簡易型的NAT，NAT是一種因應IP地址不夠用所設計的機制，主要架設在閘道上，負責轉換內部與外部的IP， 另一種用戶端直接撥號連線的機制稱為PPPoE，這個測試會告知用戶外部與內部所對應的ip地址，讓用戶知曉目前所處的網路是用NAT或PPPoE進行對 外連線，並顯示封包建立時間階梯圖，在正常的情況下，數值從左到右，會跟爬山般逐步向峰頂靠近。本機網卡的部份將會出現本機的ip地址，包含IPv6，用 戶可以瞭解這台主機是否為虛擬機，或是這台主機有幾片網卡在運作中。本機的DNS將會檢測用戶端的網路結構是否有透過Tor進行連線，Tor是種匿名的傳 輸服務，主要是透過一堆匿名的伺服器節點，進行隱匿，還會檢測這台主機的DNS是否被SORBS與Spamhaus列為黑名單，黑名單的DNS地址將會被 列為垃圾信地址，SORBS與Spamhaus都是跨國非營利組織所成立的反垃圾郵件機構，專門處理全球的垃圾郵件，網路釣魚攻擊與相關的惡意電子郵件。 如果用戶端的網路架構中裝設有NAT並有開啟UPnP機制，檢測中將會分析是否存在UPnP的相關漏洞，如有，也都會在檢測報告中列出。

透通性測試

第二階段的透通性測試分為五種，分別為TCP-port檢測，UDP-port檢測，路由追蹤，MTU檢測，隱藏式代理伺服器檢測。 TCP與UDP的port共多達65535個，每個port會給予一個唯一編號不可重複，本項測試只會檢測幾個常用的port，TCP方面共檢測22個port，例如 FTP服務所使用的21-port，SH使用的22-port，SMTP使用的25-port，HTTP使用的80-port，POP3使用的110-port，HTTPS使用的 443-port等，UDP方面共檢測17個port，例如DNS服務所使用的53-port，NTP使用的123-port，IPSec使用的4500-port，SIP使用的 5060-port，VOIP使用的7078-port與7082-port等，分析結果有兩種，一種呈現黃色且告知端口以被關閉，另一種呈現紅色且告知port無回應，有這種 狀態代表port受監控中，路由追蹤的功能與windows上的tracert指令，linux上的traceroute指令，功能一樣，當用戶端連出去外部 網路時，是經由很多台路由器在控制，路由器就跟十字路口一樣，通往東西南北，例如要從台北往高雄，會經由十字路口，交流道，高速公路，交流道，十字路口， 這一個流程，在網路架構中，經由路由器，骨幹網路，路由器，這個流程，假如走省道，就會經過更多的路由器，每個路由器所等待紅綠燈的時間也會紀錄下來，當 然是不可能追蹤到全部，全部可能會超出可追蹤的數量，所以一般是30個內。（Maximum Transmission Unit，MTU）最大傳輸單元，用來規定封包的最大傳輸大小，線路的傳輸量愈大，MTU愈高，不同的線路所架構的網路會有不同大小的MTU，例如光纖網 路，MTU就有4352，乙太網路是1500，像一般用戶所使用的PPPoE撥接上網，數值就只有1492。代理伺服器等同於代理人機制，如果網路內有代 理伺服器，用戶端所觀看的特定網路內容都會經過特定的代理伺服器處理，現在一般的防火牆軟體，也會利用代理機制，將特定的網路內容導向防火牆過濾。

網路性能測試

第三階段的網路性能測試，這部份主要是檢測網路整體性能，所以會針對用戶端的頻寬上下載速率，系統的網路緩衝區，TCP封包建立的時間，與檢測伺服器的單 一封包往返時間(Round-Trip Time)，有無封包遺失或者封包重送的情況做檢測。 目前網路上最常用的兩種傳輸控制協定分別是TCP與UDP協定，這兩種最大的差別在於可靠性機制，就跟郵件寄不寄掛號的差別一樣，當用戶端使用TCP協定 進行傳輸時，會給每封信件標上一個號碼，並加入計時器的機制，確認傳輸的時間是否在合理的範圍內，假如超過了封包往返時間(Round-Trip Time)，那麼封包就會被當成以遺失，必須重傳，直到目的端收到並回傳一個對應的號碼回去。假如遇到網路壅塞等因素，會造成封包往返時間(Round- Trip Time)拖長，以致大量封包遺失，重傳時間拖長會導致網路傳輸變慢甚至斷線，檢測伺服器依靠此機制，判別與伺服器的TCP封包建立連線花了多久的時間， 單一封包往返的時間(Round-Trip Time)，並計算到底遺失了多少封包，重傳封包花了多久的時間，目前的頻寬速度上下載分別是多少，系統的網路緩衝區是否過高。

HTTP測試

第四階段的HTTP測試分為六種，分別測試用戶端的網路中有無網頁代理伺服器，透過幾項功能來檢視，像是用戶端的真實IP地址是否被隱藏，HTTP的封包 表頭是否被修改過，網頁內容是否過濾過，快取是否有被修改過，檢測網頁支援JavaScript的功能是否有開啟，透過異常的網址或語法來檢測網路中是否 有代理伺服器的存在。 用戶端可透過網頁代理伺服器的IP地址來連線，進而隱藏本身的IP地址，還可讓網頁暫存在代理伺服器的快取內，加快網頁開啟速度，但如果被有心人士拿來 用，可限制網頁內容的存取或紀錄使用者的傳輸資料，進而研究並達到監控等目的，封包類似一封郵件，表頭的部份如同信件的表面有寫著從那來到那去，地址，名 稱或單位，封包內部的資料相當於信件的內容。HTTP是網頁通訊專用的傳輸協定，所以拆解HTTP的封包表頭可得知訊號是從哪裡傳送過來的。一般網頁如果 出現像HTTP-400這個HTTP狀態，代表網頁伺服器無法解析用戶端所發出的異常語法，但有些異常語法，網頁代理伺服器會解析並回應訊息，讓檢測機制 辨識。

DNS測試

第五階段的DNS測試，分別測試用戶端的網域名稱解析有無管制，ISP所對應的網域解析地址是否正確，網域名稱解析速度，網域名稱是否附著在其他網域底 下，本機網域名稱的port是否有被管制，網域反向解析測試，有無外部的網域代理，ISP是否有將網域名稱指向特定網站，直接解析頂層網域。DNS (Domain Name System)域名名稱系統，舉例來說，把電話簿可以當成一個資料庫，裡面有很多聯絡人的姓名，一個姓名可以有多組電話號碼，當你在撥號時，系統只認號 碼。這就是整個DNS系統粗略的架構，所以當我們在使用網路時，系統只認數字的IP地址，並不認識網址，需透過DNS來做轉換的機制。正向解析指的是用網 址找IP反向為IP找網址。當這個電話簿不只一個人在使用時，有時搜尋時間會延長，特別是對國外的連線。網域名稱被管制時，會導致某些『關鍵字』找不到。 在DNS解析port的階梯圖，正常狀況是不會有一直緩步上升的跡象而是隨機排列的，代表port沒有被固定住，且訊號沒有被導到特定地方去。 Netalyzr會將目前用戶所對應的DNS地址，DNS搜尋速度，DNS流量是否有被重導到特定網站，有無使用外部某些免費代管的DNS呈現出來。 DNS在網路中立性裡扮演相當重要的角色，Netalyzr可針對DNS污染(DNS cache pollution)做檢測，此侵害網路中立性的有名案例，就屬中國的防火長城了。

IPv6測試

第六階段的IPv6測試，分別測試用戶端的DNS服務，網路瀏覽器，ISP網路服務商所配發的IP地址是否支援IPv6。 為了因應未來的數位家電，數位電表等設備連網的趨勢，IPv4的地址以供不應求，於是後來提出了一個新的網路通訊協定IPv6，最大的變化就是網路位址長 度增加，IPv4的編碼地址空間32位元，IPv6的編碼地址空間是128位元，IPv6比IPv4足足多了96個位元，網路位址長度增加意味著有更多的 IP可供使用。用戶端能否使用IPv6的地址是由ISP網路服務商決定的，瀏覽器能否支援IPv6是由作業系統決定的，DNS服務的部份可自行設定是否要使用IPv6的DNS服務。

DNSSEC檢測

第七階段檢測用戶端的DNS根網域，是否有支援DNSSEC。 （ Domain Name System Security Extensions，DNSSEC）域名系統安全擴展，粗略來說，是一種強化DNS安全性服務的機制，DNS是一種網址對應IP的機制，因為網路上設備 認不得網址，必須透過DNS服務來解析，多組IP會對應一組網址，防止網路過於阻塞。但DNS服務先天上有不安全的機制，在傳輸時封包不會進行加密，如果 有人在其中進行造假，將對應的網址修改過，會導致用戶連到不知名的網頁或有惡意程式的網頁。所以後來就推出DNSSEC機制將DNS封包透過雜湊函式 (Hash Function)與公開金鑰加密(Public-key cryptography)的技術進行加密，以達成資料完整性(data integrity)來源可驗證性(origin authentication of DNS data)可驗證之不存在性 (authenticated denial of existence)三大特性。

主機特性檢測

第八階段為主機特性檢測，檢測用戶端的系統時間是否精準，瀏覽器是使用那個廠牌，作業系統是那種，以及用戶端所連線時的訊息都會在以下列出。 作業系統的時間標準都是透過網路的(Network Time Protocol，NTP)伺服器進行同步化校時，NTP伺服器本身就是台時鐘，會跟全球46個國家的NTP伺服器進行同步化效正，以保持在五微秒的誤差 內。瀏覽器檢測會檢測出用戶端是使用微軟的IE瀏覽器或Google的Chrome瀏覽器或著火狐的Firefox來觀看網頁並檢測用戶端的作業系統是 Windows或Linux或IOS。最後會有四個文件顯示連線時的相關資訊。