手机浏览 RSS 2.0 订阅 膘叔的简单人生 , 腾讯云RDS购买 | 超便宜的Vultr , 注册 | 登陆
浏览模式: 标准 | 列表Tag:isp

遭遇ISP劫持?

不得不承认,2345是个垃圾站。如果没有今天这个情况的出现,或许我还愿意承认这个站点,但现在,我非常愤恨。
登录自己的博客花了很久,主要原因就是发现在连接时候,居然多了个forward和proxy,因为不明白原因,所以google了一下,找到了这篇文章 :又被ISP劫持了,原来和我有同样问题的人在。
因为我没有仔细研究,也没精力来研究。我连登录都花了将近半小时。。。。所以就COPY上面说的那个链接的内容了。
----------start---------------

最近上网时遇到过几次访问域名跳转到http://221.231.148.195/forward.html?url=XXXXXXXX然后就没反应的情况,多次发生后不由得让人怀疑。今天查理一下221.231.148.195这 个IP地址是南京电信的。我访问的是一个英文博客,不知道是哪国的但肯定不是中国的。一开始以为DNS被劫持了,所以手动查询DNS,用 WireShark查看没有伪造的数据包。通过国外的线路查询得到的结果是一样的,检查返回的IP确实是对方网站的。Ping对方的IP不通,通过国外线 路可以Ping通,看来劫持是在网络层。

使用WireShark记录HTTP会话的内容,发现第一次访问时返回内容如下。

XML/HTML代码
  1. HTTP/1.1 302 Object moved  
  2. Location: http://221.231.148.195/proxy.html?e=xxxxxxxxxxxxxxxxxxxxxxxxxx  
  3. Content-Length: 20  
  4. Content-Type: text/html  
  5. Connection: close  
  6. Expires: 0  
  7. Cache-control: no-store, no-cache, must-revalidate, post-check=0pre-check=0  
  8.   
  9. <body> ... </body>  

 

浏览器自动请求跳转地址再次返回另一个跳转。

XML/HTML代码
  1. HTTP/1.1 302 Moved Temporarily  
  2. Server: nginx/0.7.65  
  3. Date: Thu, 12 Aug 2010 00:58:42 GMT  
  4. Content-Type: text/html  
  5. Content-Length: 161  
  6. Connection: close  
  7. Location: http://221.231.148.195/forward.html?url=原来请求的URL  
  8.   
  9. <html>  
  10. <head><title>302 Found</title></head>  
  11. <body bgcolor="white">  
  12. <center><h1>302 Found</h1></center>  
  13. <hr><center>nginx/0.7.65</center>  
  14. </body>  
  15. </html>  

 

但是在我的浏览器里这一次跳转没能再返回任何东西,如果能的话会是以下内容

XML/HTML代码
  1. <html>  
  2.     <head>  
  3.         <script type="text/javascript" src="/js/jquery.min.js"></script>  
  4.         <script type="text/javascript" src="/js/jquery.cookie.js"></script>  
  5.         <script type="text/javascript" src="/js/jquery.query.js"></script>  
  6.         <script type="text/javascript">  
  7.             $(function(){  
  8.                 var value=$.cookie('_GB_ADV_STATE');  
  9.                 if(value==undefined){  
  10.                     $.cookie('_GB_ADV_STATE',"1",{expires:1});  
  11.                     window.location.href="/index.htm?3007";  
  12.                 }  
  13.                 else{  
  14.                     window.location.href=$.query_reg("url");  
  15.                 }  
  16.             });  
  17. </script>  
  18. </head>  
  19. <body>  
  20. </body>  
  21. </html>  

 

可以看到如果没有_GB_ADV_STATE这个Cookie的设置Cookie并且会跳转到2345网址导航,如果有这个Cookie的就再跳转到原来要访问的地址。Cookie的有效期设置是一天。 另外在我的Cookie里发现了cnzz_eid的东西,2345网址导航里也嵌入了访问统计的脚本,怀疑2345网址导航在利用这种劫持手段骗取独立访问数。

让我们大家一起谴责这种行为

  • 对方的服务器默认TTL用的是64,而劫持服务器返回的包到达我这里是2xx所以肯定不是原服务器的。TCP的建立时返回的SYN ACK包的TTL是5x,但是HTTP响应的第一个包是2xx。
  • 从代码判断,劫持设备只劫持短期内的第一次访问。不然会死循环。
  • 为什么这两天出问题了,一直死循环跳不到要去的页面了,难道劫持设备出错了?数据包显示在第二次访问时还是被劫持了。所以死循环了。

---OVER--
我没有找到上面的COOKIE,或许消失了(最后稍微正常了,果然发现了这个cookie)。或许有其他情况,反正我是在发现打开网站要很长时间后,我用firebug的net功能查看的,发现多了一个foward.html和proxy.html的记录。才想到用google搜索类似问题的。唉。什么时候有个清静的网络 ?你要做站你就做,你愿意花钱也没啥事,你不能拿普通站长的站来开心吧。我不能代表大多数人,我只能代表我自己谴责一下类似事件的发生。TMD,给我滚

Tags: isp, 劫持, 2345