记一次运营商劫持分析

最近我的手机使用广电宽带网络时总是莫名其妙跳转到一号店,而且网页下面也会出现广告条,这种情况明显是运营商劫持投放广告。广告如下

TJTWG0.png

换dns

首先最可能的是dns污染了,于是我把dns换成了阿里dns 223.5.5.5 ,但是情况并没有任何改变,还是有广告出现。

既然换dns无用,那很有可能就是dns劫持了,应对方法也很简单,在路由器上安装pdnsd来强制使用tcp方式查询dns,这样作确实有用。网页广告有两种,一种是上图底部图片形式的广告条,来自游侠,另一种是白底黑字的广告条,貌似是百度的。这么做只能让第一种广告消失。而且网页还是会自动跳转到一号店。

这么看的话,他们应该是dns劫持和tcp劫持都用了,于是我向运营商投诉了,到第二天确实好像暂时没有广告了,但是过了一天广告又出现了,一号店跳转也出现了,估计他们根本就没有处理,只是广告出现频率低,我那天没遇到而已。

分析

既然投诉没用,那就抓到证据举报吧。开始抓包

由于广告和一号店跳转出现频率是在太低,我抓了一个多小时都没能抓到包。只是在投诉之前出现了一次广告,我当时还没开抓包工具,只留了一张截图

7TY.png

其中那个139的ip明显有问题,虽然我不太懂js,但是看了看其中的js代码,貌似不是加广告的,但是不管怎么说,这个东西只有在使用广电宽带才有,肯定和广告有关系,而且看其中的代码有判断浏览器UA的,这可能就是广告只在手机出现而不在电脑出现的原因。

幸运的是,就在我写这篇文章时,终于抓到了一号店跳转的包

由于网页加载完成就会自动跳转到一号店,不能查看网页资源,但是看抓包数据,我这边不知为何向一号店ip发出了一个get请求,然后收到一个302跳转,指向了一号店的官网,而且网址后面跟有跟踪id,http://m.yhd.com/4?tracker_u=901839607,这个网址明显是用来推广的,这个包的ttl值是44,但是在打开一号店的网页后,这个包后面收到的来自一号店的包ttl值都是235,这个包明显是伪造的,用于一号店网盟的推广。

伪造的包:


OTIB$JL0.png

真包:

除了自动跳转到一号店以外,当我访问m.yhd.com时,网页会自动跳转到一个yiqifa.com的链接,然后再跳转到一号店的推广地址http://m.yhd.com/4?uid=00f162afa8cac7df89ff&tracker_type=1&tracker_u=10303410999&website_id=840145,这个与上一个不同,上一个是一号店网盟的推广,这个是亿起发的推广,在我向m.yhd.com发起请求后,同样也会收到一个302跳转,这次是指向 http://p.yiqifa.com/n?k=2mLErn2LWE3SrI6H2mLErI6H6EDF1QLF6njq6nPHWNKqrI6HkQLErn2S1nzmWlDmrBbbYwA5WmL-&e=shanxic&t=http://m.yhd.com/\r\n
然后yiqifa.com再次发出302指向一号店达到推广的目的,这个伪造的包ttl值是59,明显也不是一号店的。

Paste_Image.png

最后我查看了两个伪造包的响应速度,都在50ms以内(好像一次是二十几毫秒,一次是40毫秒),更加肯定这不是来自一号店的。可以确定是运营商的问题,由于两种攻击ttl值差别较大,所以ttl值很可能不是真实的,因此难以判断攻击者位置,但根据响应速度来看,比阿里DNS西安节点响应速度还快点,攻击者应该就是在西安。

附一张别人的图说明攻击原理

5791aea8360c71fae52a463ddebd6e50.png

这种攻击除了加密数据以外没有其他办法防御,实在是讨厌,希望能尽快解决。

我抓到的数据包: http://pan.baidu.com/s/1pL3ujWZ

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容