这是一个创建于 3598 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天发现访问度娘的时候被加上了推广代码 tn=19045005_29_pg
第一反应是 DNS 被劫,检查发现 DNS 没问题
先用“审查元素”看,晓得是被 302 了
再上神器 Wireshark 看具体数据包
101 号是发送 HTTP GET
102 号是运营商伪造的 TCP 数据包 302
106 号才是来自度娘的数据包
因为是重复 ACK,于是度娘链接被浏览器 RST
之后浏览器按照 302 跳到新网址
大概其他网站也被这样劫持了吧
但是这种劫持应该如何破解?我读书少,想不出破解之法
第一反应是 DNS 被劫,检查发现 DNS 没问题
先用“审查元素”看,晓得是被 302 了
再上神器 Wireshark 看具体数据包
101 号是发送 HTTP GET
102 号是运营商伪造的 TCP 数据包 302
106 号才是来自度娘的数据包
因为是重复 ACK,于是度娘链接被浏览器 RST
之后浏览器按照 302 跳到新网址
大概其他网站也被这样劫持了吧
但是这种劫持应该如何破解?我读书少,想不出破解之法
第 1 条附言 · 2014-07-13 15:19:12 +08:00
已确定是四川电信骨干网节点 202.97.70.229 处存在旁路监听劫持
见 http://www.v2ex.com/t/120713 与 http://www.v2ex.com/t/120674
也就是说四川省内都会存在这种情况,sign
上神器 iptables 过滤之
一开始只用 ip.id == 0 过滤,结果很多其他包也被过滤掉了
然后试着把 ip.ttl > 200 加入过滤条件,后面觉得不靠谱,就去掉了
考虑到劫持都是发送 302,HTTP 头部 HTTP/1.1 302 加上 Location 字段,再加上 IP 头 20 字节,TCP 头 20 字节,IP 包总长基本上就超过了 64 字节
最后把 ip.len >= 64 加上,过滤效果良好
于是在路由器中添加以下过滤命令
iptables -A INPUT -m u32 --u32 "0&0xffff=0x40:0xffff && 0x2&0xffff=0" -j DROP
参数解释:
0&0xffff=0x40:0xffff :相当于 ip.len >= 64
0x2&0xffff=0 :相当于 ip.id == 0
更多 u32 模块资料参见 http://www.stearns.org/doc/iptables-u32.current.html
见 http://www.v2ex.com/t/120713 与 http://www.v2ex.com/t/120674
也就是说四川省内都会存在这种情况,sign
上神器 iptables 过滤之
一开始只用 ip.id == 0 过滤,结果很多其他包也被过滤掉了
然后试着把 ip.ttl > 200 加入过滤条件,后面觉得不靠谱,就去掉了
考虑到劫持都是发送 302,HTTP 头部 HTTP/1.1 302 加上 Location 字段,再加上 IP 头 20 字节,TCP 头 20 字节,IP 包总长基本上就超过了 64 字节
最后把 ip.len >= 64 加上,过滤效果良好
于是在路由器中添加以下过滤命令
iptables -A INPUT -m u32 --u32 "0&0xffff=0x40:0xffff && 0x2&0xffff=0" -j DROP
参数解释:
0&0xffff=0x40:0xffff :相当于 ip.len >= 64
0x2&0xffff=0 :相当于 ip.id == 0
更多 u32 模块资料参见 http://www.stearns.org/doc/iptables-u32.current.html
 |
1
kqz901002 2014-07-12 23:20:56 +08:00
投诉运营商 投诉到工信部 法律途径
|
 |
2
bobopu 2014-07-12 23:33:52 +08:00
哪家运营商?
|
 |
3
DreaMQ 2014-07-12 23:34:30 +08:00 via Android
|
|
5
bobopu 2014-07-13 01:41:01 +08:00 via iPad
这种小型运营商就喜欢玩劫持,试着给工信部投诉下吧。最好换一家。
|
 |
6
shippo7 2014-07-13 02:32:00 +08:00
现在运营商都这么会赚钱啊 推广联盟不得赔死
|
 |
7
txlty 2014-07-13 02:55:10 +08:00
   劫持技术比我这边落后一些。 解决办法是请运营商对你去掉劫持。不想被重点关照?那就无解。 |
 |
8
Shieffan 2014-07-13 03:14:04 +08:00 via iPhone
一般只能从ip的id跟ttl字段来总结特征过滤,但不一定能提取到可靠稳定且可操作的特征。
投诉吧,如果需要附带证据,那就根据伪造包的ttl结合traceroute来反推出存在tcp劫持的路由节点。 |
 |
9
miao 2014-07-13 11:01:11 +08:00
楼主.我湖南联通也经常搞这种事.
|
 |
10
KokongW 2014-07-13 11:36:03 +08:00
浙江联通最近也搞这种事,不断投诉后,几天前解除了。
|
 |
11
penjianfeng 2014-07-13 19:54:40 +08:00
四川联通也是这样。。。每次脸上都要弹出世界杯的广告。。。
|
 |
12
julyclyde 2014-07-14 12:12:33 +08:00
举报到广告联盟那里就行了
扣发广告费 |
Select Language