| 作者 |
 [转帖]谁控制了我们的浏览器? |
 |
狼协
[博客]
[个人文集]
头衔: 海归元勋
声望: 院士
性别:  年龄: -312
加入时间: 1970/01/01
文章: 25707
来自: 美国
海归分: 6039767
|
|
|
作者:狼协 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
谁控制了我们的浏览器?
Adware
本文遵从GPL协议,欢迎转载。
1、现象是什么?
大约从今年年初开始,很多人就发现,在浏览一些网站的时候,地址栏的url后面会被莫名其妙地加上“?curtime=xxxxxxxxxx”(x为数字),并且弹出广告窗口。很多人以为这是网站自己弹出的广告,也就没有在意。
我是属于很在意的那些人之一。
2、这是怎么回事?
经过测试和分析,我们发现,上述现象与使用何种浏览器无关(我们测试了各种流行的http客户端),与使用何种操作系统也无关(linux用户也有相关报告)。我对出现该现象的IE浏览器进程进行了跟踪调试,没有发现任何异常。可以断定,并不是系统被安装了adware或者spyware。
那么是不是那些网站自己做的呢?后来发现,访问我们自己管理的网站时也出现了这种情况,排除了这个可能。
那么剩下唯一的可能就是:有人在某个或某几个关键网络节点上安装了inject设备,劫持了我们的HTTP会话——我实在是不愿相信这个答案,这个无耻、龌龊的答案。
伟大的谢洛克·福尔摩斯说过:当其他可能都被排除之后,剩下的,即使再怎么不可思议,也一定是答案。
为了验证这个想法,我选择了一个曾经出现过上述现象的网站附近网段的某个IP。直接访问这个IP的HTTP服务,正常情况下是没有页面的,应该返回 404错误。我写了一个脚本,不断访问这个IP,同时记录进出的数据包。在访问进行了120次的时候,结束请求,查看数据。120次请求中,118次返回的都是正常的404错误:
HTTP/1.1 404 object Not Found
Server: Microsoft-IIS/5.0
Date: Mon, 19 Jul 2004 12:57:37 GMT
Connection: close
Content-Type: text/html
Content-Length: 111
〈html〉〈head〉〈title〉Site Not Found〈/title〉〈/head〉
〈body〉No web site is configured at this address.〈/body〉〈/html〉
但是有两次,返回了这个:
HTTP/1.1 200 OK
Content-type: text/html
〈html〉
〈meta http-equiv='Pragma' content='no-cache'〉
〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉
〈script〉
window.open('https://211.147.5.121/DXT06-005.htm', '', 'width=400,height=330');
〈/script〉
〈head〉
〈title〉〈/title〉
〈/head〉
〈body〉
〈/body〉
〈/html〉
更进一步分析数据包,可知劫持流程如下:
A、在某个骨干路由器的边上,躺着一台旁路的设备,监听所有流过的HTTP会话。这个设备按照某种规律,对于某些HTTP请求进行特殊处理。
B、当一个不幸的HTTP请求流过,这个设备根据该请求的seq和ack,把早已准备好的数据作为回应包,发送给客户端。这个过程是非常快的,我们的 HTTP请求发出之后,仅过了0.008秒,就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。
C、因为seq和ack已经被伪造的回应用掉了,所以,真正的服务器端数据过来的时候,会被当作错误的报文而不被接受。
D、浏览器会根据〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉这一行,重新对你要访问的URL进行请求,这一次,得到了请求的真正页面,并且调用window.open函数打开广告窗口。
在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索,出现的基本上是国内网站,这表明,问题出在国内。用于inject的设备插在国内的某个或某几个大节点上。
真相大白。我们被愚弄了,全中国的网民都成了某些人的赚钱工具。
3、现在怎么办?
在坏家伙被捉出来之前,我们要想不受这个玩意的骚扰,可以考虑下面的方法:
A、请各单位的网络管理员,在网络的边界设备上,完全封锁211.147.5.121。
B、在你自己的个人防火墙上,完全封锁211.147.5.121。
C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE,可以把“https://211.147.5.121/*”丢到弹出窗口过滤列表中去。
绝不只是广告那么简单,这涉及到我们的选择,我们的自由,这比垃圾邮件更加肮脏和无耻。今天是广告,明天就可能在你下载软件的时候给你加个adware或者加个病毒进去,谁知道呢?我们的HTTP通信完全控制在别人手里。
4、如何把坏家伙揪出来?
如果你是一个有权力调查和处理这件事的人,从技术上,可以考虑下面的手段:
方法1、
伪造的回应数据中并没有处理TTL,也就是说,我们得到的回应数据中TTL是和inject设备位置相关的。以我收到的数据包为例,真实的服务器端回应 TTL是107,伪造的回应TTL是53。那么,从我们这里到被请求的服务器之间经过了21(128-107)个节点,从我们这里到inject设备经过了11(64-53)个节点。只需要traceroute一下请求的服务器,得到路由回溯,往外数第11个节点就是安插inject设备的地方!
方法2:
假如坏家伙也看到了这篇文章,修改了TTL,我们仍然有办法。在google上以下面这些关键字搜索:php?curtime,htm? curtime,asp?curtime,可以得到大量访问时会被inject的网址。编写脚本反复访问这些网址,验证从你的ip访问过去是否会被 inject。将确实会被inject的结果搜集起来,在不同的网络接入点上挨个用traceroute工具进行路由回溯。分析回溯的结果。
上面我们已经说明了,坏家伙是在某个或者某些重要节点上安插了inject设备,那么这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。例如有A、B、C、D四个被inject到的网站,从四个地方进行路由回溯的结果如下:
MyIP-12-13-14-15-65-[89]-15-57-A
MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
MyIP-22-25-29-32-65-45-[89]-58-D
显然,inject设备极大可能就在“89”所在的机房。
方法3:
另一方面,可以从存放广告业面的211.147.5.121这个IP入手,whois查询结果如下:
inetnum: 211.147.0.0 - 211.147.7.255
netname: DYNEGY-COMMUNICATION
descr: DYNEGY-COMMUNICATION
descr: CO.LTD
descr: BEIJING
country: CN
admin-c: PP40-AP
tech-c: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: [email protected] 20011112
status: ALLOCATED PORTABLE
source: APNIC
person: Pang Patrick
nic-hdl: PP40-AP
e-mail: [email protected]
address: Fl./8, South Building, Bridge Mansion, No. 53
phone: +86-10-63181513
fax-no: +86-10-63181597
country: CN
changed: [email protected] 20030304
mnt-by: MAINT-CNNIC-AP
source: APNIC
person: ShouLan Du
address: Fl./8, South Building, Bridge Mansion, No. 53
country: CN
phone: +86-010-83160000
fax-no: +86-010-83155528
e-mail: [email protected]
nic-hdl: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: [email protected] 20020403
source: APNIC
5、我为什么要写这篇文章?
新浪为我提供桃色新闻,我顺便看看新浪的广告,这是天经地义的;或者我安装某某网站的广告条,某某网站付给我钱,这也是天经地义的。可是这个 211.147.5.121既不给我提供桃色新闻,又不给钱,却强迫我看广告,这就严重伤害了我脆弱而幼小的心灵。事实上,你可以敲诈克林斯·潘,强奸克里奥·佩德拉,咬死王阳明,挖成吉思汗墓,我都不会计较,但是现在你既然打搅了我的生活,我就不得不说几句了。
6、我是谁?
如果你知道MyName,又知道MyCount的话,那么,用下面这段perl可以得到:2f4f587a80c2dbbd870a46481b2b1882。
#!/usr/bin/perl -w
use Digest::MD5 qw(md5 md5_hex md5_base64);
$name = 'MyName';
$count = MyCount;
for ($i=0; $i〈$count; $i++)
{
$name = md5_hex($name);
}
print $name;
以下签名,用于以后可能出现的关于此文的交流:
1 6631876c2aea042934a5c4aaeabb88e9
2 a6a607b3bcff63980164d793ff61d170
3 6a58e8148eb75ce9c592236ef66a3448
4 ded96d29f7b49d0dd3f9d17187356310
5 cc603145bb5901a0ec8ec815d83eea66
注:本文为转载,作者不详,发布日期为:2004.7.20。
网上冲浪更快更爽,下载带有 Google 工具栏的 Firefox
原创文章如转载,请注明:转载自月光博客 [ https://www.williamlong.info/ ]
本文链接地址:https://www.williamlong.info/archives/439.html
分类:网络文摘 | 评论:35 | 引用:1 | 点击:8576| 收藏此页到: [ 365Key ] [ del.icio.us ]
* 相关文章:
* 中国电信流氓软件遭媒体炮轰
* 解除ADSL弹出广告的方法
* 5460和用户个人隐私
* 电信竟通过路由器篡改网站内容
* 中国互联网-流氓从良记
* 获取了电信恶意弹出广告的罪证
* 电信级的网络弹出广告
*
* 文章排行:
*
随机文章
Google Blogsearch(博客..
电信竟通过路由器篡改网站内容
使用Google Blogger的编码小..
Google搜索南京大屠杀的谣言背后
微软博客写作工具-Windows Liv..
5460和用户个人隐私
电驴服务器封杀中国用户事件
Google全球编程挑战赛揭幕,中国选手..
广电总局:今后恶搞短片传播须领取许可证
超级链接在博客中的作用
文章本月排行
Google Earth下的中国新型战机..
中文维基百科解封
防火长城真是神仙啊
Google黑客搜索技术
Yahoo卫星地图服务发布
提高浏览体验的五十个最佳FireFox扩..
Google Apps for Your..
微软的免费企业管理软件
视频共享网站简评
BlogSpot模版资源列表
文章本年排行
Google Earth揭密中国军事设施..
Google Earth大量更新中国卫星..
Google卫星地图惊现中国军事基地
Google Earth曝光美国航空母舰..
二月丫头,一脱成名
Google Earth上的中国标语
Google Maps卫星地图更新
南洋理工校花和中国色狼
Google Earth中文版和卫星导弹..
微软卫星地图
*
* 该日志的Traceback地址:
* https://www.williamlong.info/cmd.asp?act=tb&id=439
*
* 访问Yahoo首页弹出广告?!(引用)
* 葡萄树下不乘凉
* so shit!马云会做这种龌龊事? 这个是广告地址, 和月光的说 的IP一样。 https://219.133.33.46/Openet/UpLoadFile/Orders/Materials/58/2761/default.htm?param=ADZ3VpZD0wNzNkYWU2NC0wMDhhLTQ0ZjctYmFiMy02MDZmOWQzZTMyYzUmYWRpZD0yNzYxJnByb3ZpbmNlaWQ9MTMmY2l0eWlkPTEwJmNsYXNzaWQ9MTEzMCZ1c2V
* 2006-3-28 12:58:38
* ◇ 1.踩着棉花糖
*
* 我真想不明白,就广告那点钱,那让你过一辈子吗?
* 2006-3-13 9:23:23
* ◇ 2.蜀狂
* https://boqee.com/shuk
* 真TM的无耻啊,我说是怎么回事,原来这样
* 2006-3-13 12:23:18
* ◇ 3.拷贝猫
* https://www.solocat.com
* 把事情想复杂点吧。
首先一聪明的hacker会入侵211.147.5.121,然后在上面放虫子,然后虫子下木马,多好的温床啊~~
那鸽子来无影,去无踪~~ ^^
* 2006-3-13 17:25:29
* ◇ 4.lmm2003
*
* 老大,在深圳现在会经常遇上这种火人的事情....
本来还以为是本身的问题,现在真像大白,可能真的,如楼上所说的,一切没有那么简单.....
* 2006-3-14 16:44:56
* ◇ 5.暴走
*
* 呵呵~我觉的应该是内部人的所为。有谁会轻轻松松控制主干路由器弹出广告!
也许就是几个小领导为挣点外快也说不定!再也许商家给管事的小领导回扣也说不定,再也许。。。。
呵呵,复杂着列,这个世界没有我们想像的那么干净!
* 2006-3-14 17:13:30
* ◇ 6.高高在上
* https://ring.gezi168.com
* 也可能是域名服务器的问题,域名服务器故意把域名解析到错误的地址上
* 2006-3-15 2:07:07
* ◇ 7.workingbird
* https://www.putee.com/blog
* 6楼同学,如果打开了原来的地址,就不但是解析错误的问题了。不过深圳的域名服务器的确很不稳定。
4楼同学,我在深圳,我在家上网也经常遇到这种恼火的事情。很感谢楼住这么详细的分析。我本来以为可能是电信那边控制了网关,看来可能不单是这么简单的问题。
* 2006-3-24 13:12:03
* ◇ 8.gggccc44
*
* ×××,四川也有,绝对是电信干的,广告内容一般是互联星空,日
* 2006-3-25 16:10:05
* ◇ 9.gggccc
*
* 以前是“网络坚冰”,现在好多都用深圳那个,所谓广告直投,isp不配合没人能做到这种广告的
* 2006-3-31 22:26:03
* ◇ 10.hi
*
* 我是四川电信adsl用户,我的IE浏览器的主页是https://www.hao123.com,最近N天开机后第一次打开浏览器都会有个广告,显示在IE 地址栏中的地址是下面这个!感觉非常不爽,在ip安全策率中把220.167.29.102和220.167.29.103都设置为阻止,现在就暂时没有广告了!
https://220.167.29.102:5001/html/default.aspx?param=ABcHJvdmluY2VpZD04JmNpdHlpZD0yJmNsYXNzaWQ9MTAwMDU0MSZ1c2VybmFtZT1jZDgzODgxNTMzJnNvdXJjZXVybD13d3cuaGFvMTIzLmNvbS8=
* 2006-5-3 14:50:10
* ◇ 11.a
*
* 这是电信在路由器上做的手段,一是做广告,二是记录你上网的信息, para后面的参数时base64解码,将前两个字母ab去掉后(如果是AD的话就去掉AD),解码得如下信息(以上面一为例)
provinceid=8&cityid=2&classid=1000541&username=cd83881533&sourceurl=www.hao123.com/
兄弟自求多福吧
* 2006-5-13 21:47:31
* ◇ 12.阿桥
* https://www.cdwfhy.com
* 其实是四川电信在招标,这个叫push广告服务,有很多设备商都提供这种解决方案。
现在四川电信开始测试第二家的设备了!!!四川电信疯了。
https://bbs.newssc.org/dispbbs.asp?boardID=7&ID=394749&page=1
* 2006-7-9 22:05:41
* ◇ 13.williamlong
* https://www.williamlong.info
* 现在的电信局就是这样耍流氓,我这里也是天天弹出他们的广告,想禁止都没有地方禁止。
* 2006-7-9 22:13:23
* ◇ 14.南郭先生
* https://cap2.blogchinese.com/
* 我也是成都电信ADSL的,这几天也是遇到这种情况,浏览器自动弹开打开一个页面,我截获的地址是:https://220.167.29.103: 9123/ndatin.aspx?param=ABdXNlcm5hbWU9d2o4NjQxNTImcG9saWN5aWQ9Mw==&ref =1,我打10000号问电信客服的,居然还问我是不是中了病毒木马什么的,我靠,还会有人这么好心编病毒木马为你电信无偿服务啊?
* 2006-7-30 0:46:29
* ◇ 15.Hawk
*
* 我是上海电信ADSL的,正想着怎么会所有网站都弹出一样的广告呢,还禁不掉,原来这么回事!回头查了这些广告的 ip,都是 61.153.48.121,查询了一下,是 浙江省 嘉兴市 电信。现在把 ip 封掉了,应该可以清静一下了吧。
* 2006-7-30 8:41:12
* ◇ 16.cyuyan
*
* 好文,谢谢作者,我正在郁闷,新装的系统,什么安全措施都用了才敢上网,但为啥还是会有一个IE窗口一闪而过,给人的感觉就是病毒一样。
* 2006-8-10 8:17:40
* ◇ 17.路人甲
*
* 在网上看到了许多类似的情况,强列要求电信不要再做如此行为,不要迫我们用过于激列的手段报服(包括发动DDOS功击,及其它手段。我就不信全中国上网人口同时发动DDOS功击你的设备可以顶得住)。
* 2006-8-13 9:12:04
* ◇ 18.caidao
*
* 电信、网通看移动运营商短信、wap、彩信push得很爽,也眼红了。流氓是必然得喽
* 2006-8-14 16:22:50
* ◇ 19.John
*
* 我是云南的用户,早就发现这个问题,我在偶尔打开www.sina.com和www.baidu.com的时候会在网页下方出现一个广告,很快就闪过。后来改用56k Modem上网。网速很慢,所以看得很清楚。楼主真是个细心人,感谢。对于这样的事,我们有办法吗?
* 2006-8-14 21:16:32
* ◇ 20.williamlong
* https://www.williamlong.info
* 建议你打电信的服务电话,看看他们能不能解决,从客户端一般是没有办法解决的。
* 2006-8-14 21:20:53
* ◇ 21.tolig
*
* 广州电信对企业的ADSL线路也做了手脚
我在办公室打开google.cn的时候会弹出类似“https://220.167.29.103:9123/ndatin.aspx?param= ABdXNlcm5hbWU9d2o4NjQxNTImcG9saWN5aWQ9Mw==&ref=1”的窗口,在家里则不会
* 2006-8-15 16:49:01
* ◇ 22.sysoul
* https://sysoul.cn/blog/
* 云南是在下面状态栏上出现横幅推送的新闻
* 2006-8-17 23:49:53
* ◇ 23.sundayonly
*
* .................
无语.
原来是这么回事.难怪我检查了N次,都查不出原因.
我是深圳的ADSL.出现的是当地的114广告...(说实话,恶心)
* 2006-8-18 10:55:04
* ◇ 24.深圳的
*
*
https://219.133.33.37:7010/ndatin.aspx?param=......
* 2006-8-21 0:08:26
* ◇ 25.厉害
*
* 支持。。。。后面说的几句话我非常喜欢。。。呵呵
* 2006-8-24 11:26:01
* ◇ 26.RayZ
* https://rayz.oicp.net
* 这种事情要不要去APNIC投诉?
* 2006-8-24 13:37:22
* ◇ 27.xlx
*
* 如果是ISP玩阴的,我记得有个哥们提供过更狠的招:把打火机的电弧打火部分拆下来对着网线轰,只要有决心,让ISP换芯片玩好了。我记得还有成本估算,换十次好像就够一年的网费了。
* 2006-8-25 6:58:51
* ◇ 28.toobad
*
* t2ns.com 很可疑。不知道是否是操纵者还是他们的客户。。。
* 2006-9-4 9:23:23
* ◇ 29.kill
*
* 楼主高手
我是四川电信ADSL,,最近我只要使用BT之类有大量上传软件时,就会弹出来自220.167.29.103:9123的不显示窗口,用IP138查其地点为: 四川省成都市 电信 或 四川师范大学 10幢。从地址来看,其与以前弹出的互联星空、114查询同出一策。这种卑劣作为是四川电信干的!鄙视四川电信!
生在如此一个社会环境之下,生为中国人也是种耻辱了!
* 2006-9-5 1:12:05
* ◇ 30.ling
*
* 我今天也遇到这个了,google,百度,雅虎的搜索查询都被劫持了。专门过来这里翻资料。我网通的.......
对于这种弹出式广告,在ie选项-安全-自定义级别-活动脚本上选择“禁止”就可以了。
这样也造成了一些误杀......而且还不能完全生效。 暂时最好的办法就是安装上述设置后,弃用ie。
以后打死也别用ie了。
* 2006-9-6 13:25:53
* ◇ 31.打倒侵权的
*
* 广州天河adsl
https://59.42.71.245/ndatin.aspx?1242597960&m=4¶m=ABZFhObGNtNWhiV1U5WjNwRVUwdzROVFUyTWpnek9TWndiMnhwWTNscFpEMDNNREVtYzI5MWNtTmxkWEpzUFhkM2R5NWtaMlZqYVhSNUxtTnZiUzg9
* 2006-9-18 0:13:43
* ◇ 32.ca191
*
* 云南电信有强行广告,今年开始的
* 2006-10-15 11:34:43
* ◇ 33.aaa
*
* 我刚回的湖北,就在家上了个宽带,本想用vmware下的FC5S上上网的,也好激发学习的兴趣,个xx电信,居然给屏蔽了,屏蔽了也不早说,害得自以为网络说的过去的在家上网上不去(FC5上不去),我跑到电信问,他们居然还挺有理的.日子没法过了
估计电信这样了,网通那边也不会好到哪去..说不定回东北也屏蔽了...
PS问个问题:电信拨号后分配的ip是个什么ip,能做什么,不能做什么?我想知道本地电信的ip段..
* 2006-11-4 18:15:44
* ◇ 34.doit
*
* 我用的是厦门电信,也有类似的情况,在浏览的时候会自动的弹出一个同城信息网,我是新手没有别的办法只好在HOSTS文件里面把它的IP地址改成了0.0.0.0,我就是不想看它的广告。
作者:狼协 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
 |
|
-
 [转帖]谁控制了我们的浏览器? -- 狼协 - (12019 Byte) 2006-11-29 周三, 14:17 (1804 reads)
|
|
|
|
您不能在本论坛发表新主题, 不能回复主题, 不能编辑自己的文章, 不能删除自己的文章, 不能发表投票, 您 不可以 发表活动帖子在本论坛, 不能添加附件不能下载文件, |
|
|
