近段时间，一个在电信上班的朋友经常说，他们有办法知道一个NAT网关内部的电脑主机数，而且能够记录里面任何人的上网记录，听得我是心痒痒的，可问他方法，他又死活不说，郁闷。今天比较闲，脑袋里又想起了这事，想来想去，认为电信很可能采用欺骗客户端的方法，让客户端的信息首先发到监控主机，然后再发到目标。

    为证实推断是否合理，抱着试试的心态，立即在自己的机器上做了以下实验，步骤如下：

    1. 打开机器上的科来网络分析系统。

    2. 添加一个图1所示的过滤器，为的是只捕获我的机器（192.168.0.88）和网关（00:D0:41:26:3F:9E）以及外网的数据通讯，即不捕获我与内部网之间的通讯。

（图1　设置过滤器）

  3. 为减少数据干扰，在关闭本机上运用的其它应用程序后，开始捕获。

    4. 在本机上访问一个网页，这里以访问为例。
    5. 在页面出来后，停止捕获，并开始分析系统捕获到的数据包。
    6. 此次网页访问系统共捕获到了22个数据包，原始数据包的列表如图2所示。

[1]