网通会话劫持插广告的又一实例

robur · 发表于 2007-1-24 00:47:02

说起来，我可算是国内跟ISP流氓广告打交道最早的一小部分人了。
当年（当然现在还是）的紫光绿信……唉，都快一年了，还是被ISP强X着啊……
投诉了无数次，各种地方，无奈XX勾结，忽悠偶没商量……

当然了，我这个不像用电信的那个xd的分析的“互联星空”什么的，来的那么及时。俺这里是无规律出现……（但是现在我已经有了不太准确的预感了，哈哈）
终于抓住一次，不能放过，给大家看看中国ISP的流氓产业是怎么做的……

这边的基本是这么做的：
（这东西并不拦截TCP的三次握手，注意！）
当一个不幸的GET请求通过的时候，劫持设备得到了这个包的N-seq,ack
然后计算出了客户端期望返回的seq,N-seq,Ack，并把预先设定的广告代码附在后面，发回客户
广告代码里有一个刷新命令，客户端会在确认这个包收到之后，给服务器发送一个RST重置会话，然后刷新页面（新建tcp三次握手，GET，……）
当然了，我访问的这个服务器有点慢的，客户机给服务器发送了RST之后，服务器真正的响应GET请求的回复才到达。（在GET发送后大概0.2s后返回的）
当然了，这个响应数据包的seq,ack，已经被那个伪造的回复占用了，所以这个包被丢弃了（记得TCP有重发和处理重复包的机制吧？）

说实话，这个劫持手段并不高明，就是跟真正的服务器拼响应时间。一般来说，一个省内的网络，响应时间都是非常快的，这个劫持设备发送包有可能比真正的包后到达客户，而且省内的网络普遍节点太多，一个路由上的客户不是很集中，投放的效果也不是很好，所以，把这种垃圾设备放在骨干网路由器上是真tm“明智”的选择啊！

附上抓包的结果，我就不贴图了，是Sinffer Pro 4.7抓的，有兴趣的看看吧。

这两天tm的忙面试，等过了的再回来对付狗Ri的网通……

robur · 发表于 2007-1-24 00:54:25

当然，不是很准，我重新连网了。
看个大概。
真正服务器的返回TTL是46
伪造的返回TTL是53

呵呵，是不是跑到中国骨干网上去了？

打##的路由有问题，过它怎么不减生存时间？靠了，我当黑盒处理了……
打？？的可能是跟劫持设备在一个机房的路由哦。。。

46
  1 14 ms 15 ms 16 ms  218.61.149.1
47
  2 69 ms 26 ms 22 ms  218.25.5.85
48
  3 14 ms 15 ms 15 ms  218.25.4.209
49
  4 15 ms 16 ms 15 ms  218.25.0.133
50
  5 15 ms 15 ms 16 ms  218.25.2.121
51
  6## 15 ms 14 ms 14 ms  218.61.254.93
51
  7 18 ms 15 ms 16 ms  218.61.254.193
52
  8 16 ms 14 ms 14 ms  218.61.254.185
53
  9 24 ms 26 ms 26 ms  219.158.7.61
54
10 26 ms 25 ms 25 ms  219.158.5.22
55
11 116 ms 117 ms 116 ms  202.97.15.213
56
12 320 ms 320 ms 319 ms  202.97.60.209
57
13 ??    *    345 ms 346 ms  202.97.35.126
58
14 243 ms 243 ms 247 ms  202.97.37.97
59
15 255 ms 256 ms 255 ms  202.97.41.54
60
16 357 ms 360 ms 460 ms  219.149.201.42
61
17 356 ms 358 ms 359 ms  219.149.196.5
62
18 273 ms    *    269 ms  219.149.201.18
63
19 360 ms 363 ms 361 ms  222.169.225.14
64
20 272 ms 370 ms 320 ms  222.169.226.199

大半夜的胡思乱想，大家能忍就忍吧……

lingyungong79 · 发表于 2007-1-24 09:30:25

高手啊！！辛苦了，反复抓包再分析累吧？喝点茶先~

twoeyes · 发表于 2007-1-24 09:53:44

向楼主学习这种对技术的钻研精神

harker · 发表于 2007-1-24 10:27:54

不错，建议楼主再用科来分析一下，发出来就更好了。顶。

逍遥一指令 · 发表于 2007-1-24 12:57:17

robur 兄居然也跑过来了
呵呵

ValorZ · 发表于 2007-1-24 16:04:44

一般来说,找到那个劫持的特征,然后用ISA或者硬件防火墙做7层的签名过滤,过滤掉就好了

红盟过客 · 发表于 2007-1-24 16:34:41

不错，建议楼主再用科来分析一下，发出来就更好了。顶。
最好写一个很好的方案就好了

robur · 发表于 2007-1-24 22:02:30

原帖由 逍遥一指令 于 2007-1-24 12:57 发表
robur 兄居然也跑过来了
呵呵

哈哈，还不是逍遥兄引荐的么～

wsgtrsys · 发表于 2007-2-19 21:34:07

这样的弹出广告很容易的就会被maxthon阻止掉的。

robur · 发表于 2007-2-20 12:49:52

JavaScript的弹窗广告，的确，目前的主流浏览器都可以拦截……
可是如果是Frame呢？呵呵……

java-g · 发表于 2007-2-28 19:00:40

好像在那看到过

iLRainyday · 发表于 2007-3-1 13:26:25

并把预先设定的广告代码附在后面

这个伪造的seg里置了FIN，不过似乎并没有看到广告的内容呀

ganx · 发表于 2007-6-25 10:03:04

看看先，ISP比较流氓

lsj5492 · 发表于 2007-9-29 14:54:36

高手啊！！~看不懂啊！~

xhcyy · 发表于 2007-10-9 14:55:38

又是robur机修兄的，彻底佩服，我叫你大爷了~~

zhongheihu · 发表于 2009-7-10 10:37:40

谢谢！！！辛苦了！！！

tssnowing · 发表于 2009-7-11 22:08:13

学习了，分析的不错

shan91919 · 发表于 2010-5-25 01:50:53

会话劫持插广告的又一实例

bingxuelin · 发表于 2010-5-26 16:35:42

学习一下。。。SNIFFER用的不是太多。。。用科来用习惯了都。。。

网通会话劫持插广告的又一实例

本帖子中包含更多资源

评分

再贴上我今天Tracert的结果