V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Ansen
V2EX  ›  Wireshark

麻烦帮忙分析一下wireshark抓的包

  •  
  •   Ansen · 2013-09-24 18:03:26 +08:00 · 8710 次点击
    这是一个创建于 4081 天前的主题,其中的信息可能已经有所发展或是发生改变。
    还是之前的http劫持问题 /t/79270#reply9 /t/81095#reply20

    工信部投诉过后,电信方面一直跟我强调,从13年3月15日后,他们已经全方面停止了商业广告推送。
    但是我这里上网还是被劫持

    为了排除是系统的问题,我直接换成了linux
    结果仍然被劫持
    劫持视频:
    jiechi.duapp.com

    昨天晚上用wireshark抓包,但是不会分析。。

    包地址:
    http://pan.baidu.com/share/link?shareid=4279024039&uk=4129632760

    说明:
    0923 09232 这两个包 我用了 tcp dst 80规则,
    09233 这个包,是我打开amazon被劫持过程中抓取的
    第 2 条附言  ·  2013-09-25 00:41:39 +08:00
    38 条回复    1970-01-01 08:00:00 +08:00
    cctvsmg
        1
    cctvsmg  
       2013-09-24 18:41:44 +08:00   ❤️ 1
    http方面的可以用HttpAnalyzer
    非常直观
    Ansen
        2
    Ansen  
    OP
       2013-09-24 18:46:28 +08:00
    @cctvsmg
    感谢,回去装个虚拟机试试
    BOYPT
        3
    BOYPT  
       2013-09-24 19:11:21 +08:00
    cj1324
        4
    cj1324  
       2013-09-24 19:51:43 +08:00
    Ansen
        5
    Ansen  
    OP
       2013-09-24 20:21:04 +08:00
    @BOYPT
    原来还有这么好用的工具,已经上传
    @cj1324
    就是会先跳转到这个地址,不知道是dns的问题 还是电信劫持的问题
    yingluck
        6
    yingluck  
       2013-09-24 20:25:57 +08:00   ❤️ 1
    我用wireshark看了一下你发的三个包,确实有打开亚马逊后有推广页面的现象。
    在09232这个包中,第60包发出了HTTP请求,请求亚马逊网页http://photo.weibo.com/1855026031/wbphotos/large/mid/3626151450291377/pid/6e91736fjw1e8xuu7z9bsj20ka0bbdje
    然后经过四个握手http://photo.weibo.com/1855026031/talbum/detail/photo_id/3626151477147054?prel=p6_3
    就返回了广告页面 在第65个包中http://photo.weibo.com/1855026031/talbum/detail/photo_id/3626151477147054?prel=p6_3#3626151477153385
    通信IP双方都没有变化 可以说基本跟系统没关系
    我估计是运营商的问题
    chen7897499
        7
    chen7897499  
       2013-09-24 20:26:31 +08:00   ❤️ 1
    我上次也是遇到这种情况 直接电信的官方投诉http://tousu.ct10000.com/ 加地方通信管理局还有工信局 三方一起轰炸 第二天就给我解决了
    Ansen
        8
    Ansen  
    OP
       2013-09-24 20:30:55 +08:00
    @yingluck
    非常感谢

    @chen7897499

    那说明,我上次投诉工信部 没有起到作用
    chen7897499
        9
    chen7897499  
       2013-09-24 20:34:34 +08:00
    @Ansen 你投诉过之后 第二天都会给你来个电话的 没来电话 你再投诉就是了 不要怕 记得要写自己的宽带帐号 还有就是找地方通信管理局的网站进行网上投诉比工信部快得多
    Ansen
        10
    Ansen  
    OP
       2013-09-24 20:36:32 +08:00
    @chen7897499

    只是电信方面一直不承认,最后说是叫工作人员上门来看,然后就没有然后了
    chen7897499
        11
    chen7897499  
       2013-09-24 20:41:56 +08:00
    @Ansen 我上次为了这个事情 足足和他们纠缠了半个月 我是湖南的 后来有个技术人员联系我 我把上网dhcp自动获悉的dns 还有这些链接还有数据包什么的发到他邮箱 立马就给我解决了 上门来根本就不可能的 记住把所有证据性的东西都保存下来 不停的投诉的话 他不可能不承认的
    cj1324
        12
    cj1324  
       2013-09-24 20:45:38 +08:00 via Android   ❤️ 1
    确实和电信没关系 你用了 114 DNS 嘿嘿。
    Ansen
        13
    Ansen  
    OP
       2013-09-24 20:46:29 +08:00
    @chen7897499
    只有这样了,继续的投诉了
    我再多抓点包,把京东 淘宝的都抓到
    Ansen
        14
    Ansen  
    OP
       2013-09-24 20:47:47 +08:00
    @cj1324

    能麻烦你详细说明一下么?非常感觉,我也再学习一下
    chen7897499
        15
    chen7897499  
       2013-09-24 20:49:46 +08:00
    @cj1324 我上次当然试了114的dns也有这种情况 后来省工作人员给我的解释是这是他们针对iphone5的宣传活动 还祝我节日快乐
    Ansen
        16
    Ansen  
    OP
       2013-09-24 20:52:08 +08:00
    @chen7897499
    这不扯么
    cj1324
        17
    cj1324  
       2013-09-24 21:08:07 +08:00   ❤️ 1
    114 DNS 问题

    》关键DNS查询 DNS:114.114.115.115


    cj1324
        18
    cj1324  
       2013-09-24 21:11:36 +08:00
    我猜测 114dns 其实只是劫持了 amazon.cn 这个域名 原来的 www.amazon.cn的域名应该没有劫持。

    欺负那些懒人,赚点广告钱。。
    Ansen
        19
    Ansen  
    OP
       2013-09-24 21:31:59 +08:00
    @cj1324
    没看明白
    203.81.17.246 这个ip是亚马逊的达
    yfdyh000
        20
    yfdyh000  
       2013-09-24 21:39:10 +08:00
    @cj1324 截图表明什么了吗,完全没问题吧。同114DNS一切正常。
    @Ansen 就是HTTP劫持,继续投诉吧。或者路由器问题?
    Ansen
        21
    Ansen  
    OP
       2013-09-24 21:41:24 +08:00
    @yfdyh000
    路由我都重置过了,不行我回去 换一个试试
    cj1324
        22
    cj1324  
       2013-09-24 21:43:53 +08:00
    @Ansen 那个IP (203.81.17.246)是广告联盟的 用来进行中转
    配合用来进行插入广告的IP(203.81.17.130)
    900-950号 包 是加密通讯的 不清楚他对浏览器做了什么。
    目前就看到他会发ajax请求 和加广告。
    这2个IP 都是广告联盟的。
    cj1324
        23
    cj1324  
       2013-09-24 21:50:22 +08:00
    @Ansen 不用114 DNS 就行了。 何必折腾。。 记得清除浏览器缓存 否则。。
    Ansen
        24
    Ansen  
    OP
       2013-09-24 21:52:52 +08:00
    @cj1324
    这两个IP是amzon的吧。 怎么会是广告联盟的。。

    chen7897499
        25
    chen7897499  
       2013-09-24 21:54:23 +08:00
    我也没看懂 我这里解析的www.amazon.cn的ip和这两个广告联盟的ip在同一个c段 而且通过http://www.114best.com/ip/做域名反查 这两个ip下域名也确实只有卓越亚马逊
    cj1324
        26
    cj1324  
       2013-09-24 22:03:04 +08:00
    @Ansen 估计是一个不太正常的CDN, 真要确定问题。 只能弄清楚 900-950 被加密的包。里面到底是什么内容。为什么他会ajax请求 加广告。
    yfdyh000
        27
    yfdyh000  
       2013-09-24 22:05:30 +08:00
    @cj1324 你确定?直接打开IP看看,明明就是亚马逊的服务器。
    https://203.81.17.130/ https://203.81.17.246/
    cj1324
        28
    cj1324  
       2013-09-24 22:06:27 +08:00
    @Ansen 如果JD 也有劫持的话 可以看看JD是怎么劫持的。 如果确实是JD自己的IP的话,那就有可能某些HTTP 请求被电信用加密的内容替换了。 进行一些非正常的js命令执行
    Ansen
        29
    Ansen  
    OP
       2013-09-24 22:08:31 +08:00
    @cj1324
    好 一会回去,我抓JD的包,什么一号店之类的也抓起
    chen7897499
        30
    chen7897499  
       2013-09-24 22:13:05 +08:00
    哎 流氓的运营商果然什么事情都可以做 我们这些用户真可怜
    Ansen
        31
    Ansen  
    OP
       2013-09-24 22:28:16 +08:00
    @chen7897499
    也是*内
    cj1324
        32
    cj1324  
       2013-09-24 23:09:27 +08:00
    @Ansen 950号 包完整内容 是请求www.amazon.cn(203.81.17.130) 返回的 JS 大部分被压缩了

    #发现写这个代码的哥们已经对你不错了。

    很多广告 都被注释掉了.

    https://gist.github.com/cj1324/6685905
    Ansen
        33
    Ansen  
    OP
       2013-09-24 23:16:05 +08:00
    @cj1324

    非常感谢。哥们你太用心了。。。 来成都 我请你吃饭。。。
    cj1324
        34
    cj1324  
       2013-09-24 23:33:24 +08:00
    @Ansen 我刚才发的那些HTML 确实是amazon.cn官方提供的。

    p.yiqifa.com 应该不是亚马逊主动访问的。 可能你的浏览器插件有问题 (插件会根据帐号进行,跨操作系统同步),换一个浏览器试试
    cj1324
        35
    cj1324  
       2013-09-24 23:55:01 +08:00
    和你一样问题的人应该很多,大多数人没察觉。
    这个网站在中国地区流量排行是208 名。

    应该是一个非常大的组织。。
    http://alexa.webmasterhome.cn/?url=yiqifa.com
    Ansen
        36
    Ansen  
    OP
       2013-09-25 00:44:52 +08:00
    @cj1324
    我是在chrome的隐身模式下抓的包,排除插件问题(隐身模式下默认禁用所有插件)
    要不是我恰好做过这方面,对这方面比较敏感,有可能我也忽略了

    已经添加jd和一号店的包
    anheiyouxia
        37
    anheiyouxia  
       2013-09-25 16:33:13 +08:00
    @Ansen 看你提供的视频,其实你那里还是夹在了proxy插件的,说明你没有禁用所有的插件
    你最好还是进去确认一下全部禁用,或者是换个浏览器试试吧
    多试几个才知道什么问题
    Ansen
        38
    Ansen  
    OP
       2013-09-25 16:49:09 +08:00
    @anheiyouxia
    好的,晚上试试firefox
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1035 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 21:19 · PVG 05:19 · LAX 13:19 · JFK 16:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.