手机浏览 RSS 2.0 订阅 膘叔的简单人生 , 腾讯云RDS购买 | 超便宜的Vultr , 注册 | 登陆
浏览模式: 标准 | 列表Tag:劫持

DNS又被长宽劫持了

以前写过自己在家里的DNS被长宽劫持的文章,现在又遇到了。
其实,以前我都忍了,什么弹旅游的广告啦,弹这个那个的广告啦。如今,干脆弹的我打不开博客了。MD。
为了防止别人说我诬蔑他们所以我一一截图,首先,我的首页的源码变成:

XML/HTML代码
  1. <html><body style=‘margin:0;padding:0;height:100%’ scroll=no><div id=‘Z’></div><iframe id=‘CC’ name=‘CC’ src=‘http://neatstudio.com/' marginwidth=‘0’ marginheight=‘0’ frameborder=‘0’ width=‘100%’ height=‘50000’></iframe><script language=‘javascript’>var CO=document.getElementById(‘CC’);var M=‘http://neatstudio.com/';try{CO.contentWindow.document.location.href=M}catch(e){};setTimeout(“G()”,1500);function G(){try{var t=CO.contentWindow.document.title;if(t==undefined||t==‘’){setTimeout(“G()”,1500);return}document.title=t}catch(e){}}function H(m){document.getElementById(m).height=document.documentElement.offsetHeight-5}window.setInterval(“H(‘CC’)”,100);function T(){location.href=M}</script><script src=“http://124.14.10.69/js/cdn5.js”></script></body></html>  

OK,这段代码还可以通过 firebug看到:

然后,用phoneix打开这个JS,看一下详细内容:

看到没,会跳到这个play.tenoad.com,这是一个什么网站呢?是一个游戏推广页面。那么tenoad.com是什么样的网站呢?是一家广告公司。。。我晶。
我当前的IP地址是:124.14.7.171,这个广告的地址是:124.14.10.69,长宽 ,你还不承认 ??
行,我问IP138去:

然后我再刷新,晶啊,还不止一种广告:

还有第二种。。。。
再到google里搜索了一下,我晶,原来还有老外在抱怨,虽然我不喜欢日本,但这回总算有了共同语言:

如果你还不信?你可以打开:http://ch.livedoor.biz/archives/51882715.html,看看别人是怎么说的。
是啊,这个网站在最后还这么说呢:

http://trackback.blogsys.jp/livedoor/shanghailife/51882715
  1. たとえ中国といえども  
  2. まさかネットに接続するプロバイダーがここまで  
  3. 酷いとは思わなかった...  
  4.   
  5. 果たして苦情の回答はくるのだろうか?  
  6.   
  7. なんて回答がくるか楽しみ  

所以,我相对还是蛋定了许多。。

Tags: dns, 长城宽带, 劫持

遭遇ISP劫持?

不得不承认,2345是个垃圾站。如果没有今天这个情况的出现,或许我还愿意承认这个站点,但现在,我非常愤恨。
登录自己的博客花了很久,主要原因就是发现在连接时候,居然多了个forward和proxy,因为不明白原因,所以google了一下,找到了这篇文章 :又被ISP劫持了,原来和我有同样问题的人在。
因为我没有仔细研究,也没精力来研究。我连登录都花了将近半小时。。。。所以就COPY上面说的那个链接的内容了。
----------start---------------

最近上网时遇到过几次访问域名跳转到http://221.231.148.195/forward.html?url=XXXXXXXX然后就没反应的情况,多次发生后不由得让人怀疑。今天查理一下221.231.148.195这 个IP地址是南京电信的。我访问的是一个英文博客,不知道是哪国的但肯定不是中国的。一开始以为DNS被劫持了,所以手动查询DNS,用 WireShark查看没有伪造的数据包。通过国外的线路查询得到的结果是一样的,检查返回的IP确实是对方网站的。Ping对方的IP不通,通过国外线 路可以Ping通,看来劫持是在网络层。

使用WireShark记录HTTP会话的内容,发现第一次访问时返回内容如下。

XML/HTML代码
  1. HTTP/1.1 302 Object moved  
  2. Location: http://221.231.148.195/proxy.html?e=xxxxxxxxxxxxxxxxxxxxxxxxxx  
  3. Content-Length: 20  
  4. Content-Type: text/html  
  5. Connection: close  
  6. Expires: 0  
  7. Cache-control: no-store, no-cache, must-revalidate, post-check=0pre-check=0  
  8.   
  9. <body> ... </body>  

 

浏览器自动请求跳转地址再次返回另一个跳转。

XML/HTML代码
  1. HTTP/1.1 302 Moved Temporarily  
  2. Server: nginx/0.7.65  
  3. Date: Thu, 12 Aug 2010 00:58:42 GMT  
  4. Content-Type: text/html  
  5. Content-Length: 161  
  6. Connection: close  
  7. Location: http://221.231.148.195/forward.html?url=原来请求的URL  
  8.   
  9. <html>  
  10. <head><title>302 Found</title></head>  
  11. <body bgcolor="white">  
  12. <center><h1>302 Found</h1></center>  
  13. <hr><center>nginx/0.7.65</center>  
  14. </body>  
  15. </html>  

 

但是在我的浏览器里这一次跳转没能再返回任何东西,如果能的话会是以下内容

XML/HTML代码
  1. <html>  
  2.     <head>  
  3.         <script type="text/javascript" src="/js/jquery.min.js"></script>  
  4.         <script type="text/javascript" src="/js/jquery.cookie.js"></script>  
  5.         <script type="text/javascript" src="/js/jquery.query.js"></script>  
  6.         <script type="text/javascript">  
  7.             $(function(){  
  8.                 var value=$.cookie('_GB_ADV_STATE');  
  9.                 if(value==undefined){  
  10.                     $.cookie('_GB_ADV_STATE',"1",{expires:1});  
  11.                     window.location.href="/index.htm?3007";  
  12.                 }  
  13.                 else{  
  14.                     window.location.href=$.query_reg("url");  
  15.                 }  
  16.             });  
  17. </script>  
  18. </head>  
  19. <body>  
  20. </body>  
  21. </html>  

 

可以看到如果没有_GB_ADV_STATE这个Cookie的设置Cookie并且会跳转到2345网址导航,如果有这个Cookie的就再跳转到原来要访问的地址。Cookie的有效期设置是一天。 另外在我的Cookie里发现了cnzz_eid的东西,2345网址导航里也嵌入了访问统计的脚本,怀疑2345网址导航在利用这种劫持手段骗取独立访问数。

让我们大家一起谴责这种行为

  • 对方的服务器默认TTL用的是64,而劫持服务器返回的包到达我这里是2xx所以肯定不是原服务器的。TCP的建立时返回的SYN ACK包的TTL是5x,但是HTTP响应的第一个包是2xx。
  • 从代码判断,劫持设备只劫持短期内的第一次访问。不然会死循环。
  • 为什么这两天出问题了,一直死循环跳不到要去的页面了,难道劫持设备出错了?数据包显示在第二次访问时还是被劫持了。所以死循环了。

---OVER--
我没有找到上面的COOKIE,或许消失了(最后稍微正常了,果然发现了这个cookie)。或许有其他情况,反正我是在发现打开网站要很长时间后,我用firebug的net功能查看的,发现多了一个foward.html和proxy.html的记录。才想到用google搜索类似问题的。唉。什么时候有个清静的网络 ?你要做站你就做,你愿意花钱也没啥事,你不能拿普通站长的站来开心吧。我不能代表大多数人,我只能代表我自己谴责一下类似事件的发生。TMD,给我滚

Tags: isp, 劫持, 2345