V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
haohaolee
V2EX  ›  问与答

今天抓包分析了一下本地电信的http劫持,求对策

  •  
  •   haohaolee · 2011-11-11 18:04:46 +08:00 · 10286 次点击
    这是一个创建于 4767 天前的主题,其中的信息可能已经有所发展或是发生改变。
    抓包分析结果:
    1. TCP三次握手后,浏览器会发出一个get请求
    2. 此时ISP(或者和ISP勾结的)会先于目标网站返回一个页面,包含一个frame指向目标网站
    3. 目标网站真正的返回就reset了

    ISP强行插入的包TTL不同于目标网站的包,并且包含有FIN PSH ACK标志

    想用iptables丢掉这个包,但是第一对iptables不熟不确定规则如何写,二来不确定特征是否唯一怕误杀别的正常包
    24 条回复    2012-03-27 10:06:18 +08:00
    haohaolee
        1
    haohaolee  
    OP
       2011-11-11 18:06:03 +08:00
    讽刺的是我点发送这个帖子的时候就被劫持了,真恼火
    icyflash
        2
    icyflash  
       2011-11-11 18:06:19 +08:00
    电话10000,语气一定要强硬
    haohaolee
        3
    haohaolee  
    OP
       2011-11-11 18:08:32 +08:00
    打了,他们完全无法沟通,只会问是不是电脑中毒了
    另外,投放的广告ip来自省级电信,不是我们这小地方的,难说是本地电信搞的
    c
        4
    c  
       2011-11-11 18:19:28 +08:00
    工信部投诉,会有人联系您的~
    qwertyjing
        5
    qwertyjing  
       2011-11-11 19:14:59 +08:00
    据说某些电信官网有关闭选项。
    投诉电话还是要打,就说用的Linux/Mac,上自己的站都有,不解决就一直打。
    vising
        6
    vising  
       2011-11-11 19:46:15 +08:00
    LZ是哪里的电信?我用杭州电信也有这个iframe,iframe的js文件所在服务器IP却是湖北电信的。
    jeeson
        7
    jeeson  
       2011-11-11 19:49:20 +08:00
    北京联通这边劫持也非常严重, 国内国外网站都劫持. 打了投诉电话, 也到工信部网站投诉了, 问题依旧. 这几天似乎消失了.

    有几天严重到让人抓狂, 当时想编一个插件, 一发现就对劫持网站连续发大量"问候", 不过这个要不是大量用户对他们没有影响
    haohaolee
        8
    haohaolee  
    OP
       2011-11-11 21:03:16 +08:00
    @vising 就是湖北电信的,md。明天试试投诉看看
    haohaolee
        9
    haohaolee  
    OP
       2011-11-11 21:04:30 +08:00
    而且访问v2ex似乎特别严重,3次有一次被劫持。一旦发现地址栏的地址不变化了就知道被劫持了
    evlos
        10
    evlos  
       2011-11-11 21:20:23 +08:00
    当时被劫持的时候,换了google的dns就好了 ( ̄▽ ̄")。
    fim8
        11
    fim8  
       2011-11-11 21:22:46 +08:00
    最近除了访问不存在的域名会跳转到网址大全. 其他比如访问淘宝 新蛋 凡客跳转的返利页面都没有了. 不知道为什么.
    haohaolee
        12
    haohaolee  
    OP
       2011-11-11 21:31:16 +08:00
    @evlos 不是dns劫持,是http劫持,伪装目标网站的响应
    Hyperion
        13
    Hyperion  
       2011-11-11 21:52:42 +08:00
    我这里几个月前也这样, 但最近收敛很多. 一般这种广告好像针对性很强, 应该都是当地电信搞的鬼. 骚扰下客服, 一般可以搞定.

    电信在qq上搞了个客服系统, 可以尝试的加一下. 配合截图, 不管对面装不装傻, 反复折腾之...

    表示可以用油猴脚本凑合用用, 检测到frame就刷页面...

    iptable, 参考一下屏蔽QQ的方法吧...
    vising
        14
    vising  
       2011-11-11 22:01:38 +08:00
    一般看到title显示为网址了,十有八九是被劫持了。
    evlos
        15
    evlos  
       2011-11-11 22:12:57 +08:00
    @haohaolee 0 0 技术升级了。。。。
    longxi
        16
    longxi  
       2012-03-26 22:55:51 +08:00
    今天看到这个帖子了,思路不错!http://www.freebsdchina.org/forum/viewtopic.php?t=51871
    dongbeta
        17
    dongbeta  
       2012-03-26 22:58:57 +08:00
    工信部投诉,会有人联系您的~ +1
    wingsdog
        18
    wingsdog  
       2012-03-26 23:02:44 +08:00
    投诉 找客服主管/威胁请记者报道/威胁打12315

    不停的报修宽带

    基本能解决
    wingsdog
        19
    wingsdog  
       2012-03-26 23:03:40 +08:00
    不需要斗智 花钱买的是服务 让他们耗人工费就是了
    lossdante
        20
    lossdante  
       2012-03-26 23:52:32 +08:00
    果断联系媒体曝光之
    virushuo
        21
    virushuo  
       2012-03-27 00:08:34 +08:00
    今天刚刚打了一次10000,根本不用跟他们废话,告诉他们就是走一流程,24小时之后工信部投诉就行了。一次不行多来几次。
    zhairuo
        22
    zhairuo  
       2012-03-27 00:32:32 +08:00
    丢包可能不行,因为电信劫持的是初始化连接的fin包,即使你把它被劫持的包丢掉,当timeout时,tcp会重发fin包,这时又有可能被劫持。还是投诉,举报方法好。@longxi连接地址中提到的方法也不错。
    crab
        23
    crab  
       2012-03-27 01:03:22 +08:00
    运营商是不是对所有用户都劫持。然后如果遇到有投诉的,才相应取消有意见用户的劫持啊?
    why
        24
    why  
       2012-03-27 10:06:18 +08:00
    哈哈,我们单位的路由器也劫持了,艾泰的

    以前对付电信劫持:劫持时浏览器出来的<title>为“... ...”,我就用脚本监视刷新一下浏览器

    后来在策略里封掉电信的几个IP地址,劫持是就做不到服务器

    现在用了路由器,很少发现有劫持现象了

    也可以用pac文件代理到本地web服务器
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2786 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 07:52 · PVG 15:52 · LAX 23:52 · JFK 02:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.