电信弹出式广告原理分析（揭秘篇）

nielsgans · 发表于 2006-8-17 23:23:02

近一段时间ADSL上网老出现一个问题，就是拨号后第一次浏览的网页无论地址是什么都会被变成互联星空的弹出式广告，而第二次输入的地址浏览起来就没问题了。起先以为是什么垃圾软件捣鬼，但本人一向奉公守法文明上网，从不浏览那些美女视频啊、激情网聊啊之类的东东，应该不会那么容易中招，又凭着对操作系统的那么一点点了解，经过仔细检查、反复试验，证明了自己的系统一切正常，那么问题出在哪里呢？百思不得其解，想来想去最后怀疑到ISP的头上，不过那可是大名鼎鼎的中国电信啊……呵呵，话又说回来，除了他们谁还会给互联星空做广告呢？难道互联网上真的有活雷锋？？？我#￥%—￥……—（%—*）（……%•#￥•%

本人技术底子薄，动手能力差，唯一的强项就是搜索，关键词的运用已趋臻化，至少零点几个甲子的功力，哈哈：）先放狗来搜，几个Google下去马上就有收获，一篇“电信网页访问监控原理分析” （http://www.csna.cn/forum.php?mod=viewthread&tid=68）让我茅塞顿开，原来我还在设想电信可能是在DNS服务器上捣鬼，准备换个外省的DNS来对付，没想到他们居然搞TCP劫持，我的亲娘啊，这个可是标准的黑客手段哦，中国电信做大做强没想到也做黑客，呵呵，看来干这个事不违法：）

既然有了思路，那么就来证明，理论指导实践，依样画葫芦，下载一个叫做科来的抓包软件（http://www.csna.cn/forum.php?mod=viewthread&tid=612&extra=page%3D1），然后申请试用账号和密码，一路确定下去，轻松搞定软件工具，开始抓包了~~~

首先，我关闭了电脑上所有无关的软件，尤其是有可能对互联网自动进行访问的软件，因为这样会干扰试验的结果；然后我打开抓包工具，按照原贴中的方法设置好过滤器，再断掉ADSL的连接，稍待片刻后，重新拨号。等一切进行完毕，我确认自己已经联上互联网了，再小心翼翼点击程序的开始按钮正式开始捕获（5555~~~~，第一次抓包就这样没有了，第一次啊，5555~~~~）。

打开一个IE浏览器，输入一个熟悉的网址www.top81.net，然后回车，只见刷刷两下，屏幕上出现了令人熟悉的——互联星空~~~%•#￥……￥#……%，我靠~~~比邮差还及时比季风还守信啊，中国电信诚不我欺也~~~
这边浏览器里刷刷的跳出来什么天气预报、星空急速、美女图库之类的东东，那厢的科来也没闲着呼呼的给我冒出一大排的表格，不过看着一切尽在掌握之中，心里那个美啊，“我得意的笑，我得意的笑~~~”。

好了，看着页面已经出来，包也抓够了，我停下搜捕行动，然后开始准备第二次的抓包。不明就里的人可能要问了，不是抓了吗？怎么还要抓一次？呵呵，这个就要夸夸俺们这嘎达的中国电信了，虽然我对他们印象不佳，但他们还是比较纯善的，推广告嘛一般只推一次，不像有些地方的ISP那么急吼吼，从头到尾不停的刷，也就是说我们这里只有拨号以后的第一次网页浏览会出现问题（其实这个时候如果是下载，也会下到互联星空的网页，事实上只要是TCP连接都会收到被伪装的数据包，后文详述），后面的浏览就是正常的，所以我要抓一次在正常情况下的浏览比较一下，废话不说，开抓~~~。

nielsgans · 发表于 2006-8-17 23:23:37

下面是第一次抓包的详细情况，请大家把注意力放在对第5个包的分析上，因为这个包很奇怪，这是服务器端返回给客户端的一个请求，它要求客户端去访问一个毫不相干的地址，所以我一开始就对它的怀疑很大。

[ 本帖最后由 nielsgans 于 2006-8-17 23:33 编辑 ]

nielsgans · 发表于 2006-8-17 23:24:14

这里是第二次抓包的详细情况，和前面一个图对比来看就可以发现，第5个数据包的内容完全不同，后面发生的事情也完全不同。前者导致了互联星空的打开，后者则是正常的访问了目标服务器，所以说第5个数据包是关键

nielsgans · 发表于 2006-8-17 23:24:51

这里是对比前后两次连接，服务器端发出的数据包的生存时间，一般来说，这个值是不会变的，如果短时间内两次连接产生的数据包生存时间不同的话，基本可以断定，其中一个不是李逵是李鬼。

[ 本帖最后由 nielsgans 于 2006-8-17 23:28 编辑 ]

nielsgans · 发表于 2006-8-17 23:25:34

最后再来看看中国电信的光辉业绩，呵呵，互联星空兄弟众多，忙啊~~~

[ 本帖最后由 nielsgans 于 2006-8-17 23:28 编辑 ]

nielsgans · 发表于 2006-8-17 23:27:36

好了，到这里我的分析也告一段落，事实证明，中国电信凭借其资源在对ADSL拨号上网的客户实行TCP会话劫持的“技术操作”从而达到发布广告的目的，本人在对10000台进行电话“咨询”时，对方也极不情愿的承认了这一点（纯善绝对的纯善，呵呵），并解释这只是暂时的行为，是为了在近期推广互联星空而采取的，不会对用户的使用打来什么影响。

事实上，近一短时间以来全国各地的互联网用户都在被这种由ISP制造的广告、弹出式菜单所困扰，有的是什么绿色上网有的是什么互联星空甚至还有为第三方做广告的，种种这些严重的影响了用户的上网体验，造成极度的不爽，而且由于这是ISP进行的技术操作，客户端根本没有办法破解，任何防火墙杀毒软件都没有用处，顶多是屏蔽而已，但这样的结果也只是目的地址打不开，互联星空也打不开，客户在浏览器上经历一次失败的访问而已，但对于那些需要有特殊访问要求的服务，比如说开机后需要自动访问远端服务器进行的操作就会因为被返回一个重定向而完全失败，典型的例子就是DDNS服务。

这就是所谓的没有影响，这就是所谓的最好的服务，我们花了钱我们包了月，得到的就是这些不请自来的广告，悲哀，这我们的悲哀更是他们的悲哀~~~

本文毫无技术含量，是一篇照猫画虎的抄袭文章，大家有兴趣，请多多研究菜鸟人飞
大侠的“电信网页访问监控原理分析” （http://www.csna.cn/forum.php?mod=viewthread&tid=68），这是正宗，谢谢！！！

菜青虫 · 发表于 2006-8-18 09:14:49

LZ理解的很透彻麻~~我之前也做过了

。

呵呵，支持LZ的学习思路，真的是花了心思了！

真的要理论联系实验，影响才深刻哈！

超级版主 · 发表于 2006-8-18 09:26:42

非常不错，从文中可以看出，楼主的对网络工作原理和协议都是有很深入理解的，另外，楼主是认真的态度及共享的精神，值得学习。

加精鼓励！

artico · 发表于 2006-8-18 11:47:51

佩服啊，，，，，

keping · 发表于 2006-8-18 12:05:12

值得学习。

加精鼓励！

nielsgans · 发表于 2006-8-18 14:27:19

谢谢大家鼓励，这个帖子完全是抄袭了菜鸟人飞大侠思路，有些地方甚至是原句，在此进一步表示感谢。我的目的一方面正如楼上版主所说为了理论联系实践，另一方面也是为了把ISP的这种做法公之于众。

我始终觉得这是有违国家有关规定的行为。你监控我可以，那是国家要求的，我没话说；但是你强行给我打广告，影响了我的使用，那就不对了。所以这篇文章我还会在其他地方贴出，敬请各位谅解，另外，如果大家有兴趣转载的话，也只管转吧，反正目的就是一个——让所有人都知道事实真相。

[ 本帖最后由 nielsgans 于 2006-8-18 14:29 编辑 ]

chinajl · 发表于 2006-8-18 22:41:00

请教兄弟
电信具体用什么技术劫持用户的TCP会话？
电信怎样判断用户的第一次访问？
有否屏蔽的方法？

wzg4511444 · 发表于 2006-8-29 01:04:10

555,本人今天也深受其害啊,早没看到这个文章,
导致以为我的机器发生了问题,
找到一个病毒软件,把小问题变成了大问题.
我还以为是IE出了问题.
现在想来,汗.搞的机器直接重装!

fadu · 发表于 2006-8-29 11:23:16

楼猪厉害偶先支持下

immark · 发表于 2006-8-30 02:49:29

不错，认真的态度值得学习

FrozenPine · 发表于 2006-9-4 19:13:32

那个图中所说的64.92.168.106其实也不是目标服务器的后文在哪里啊?

zy466501 · 发表于 2006-9-12 09:21:39

楼主让我晓得了电信的善良和可爱 ~~~~~

zhang_ming · 发表于 2006-9-12 19:26:38

人品可嘉!!

学习技术又可学到做人

一举多得

senseth · 发表于 2006-10-22 12:13:36

我们电信的服务和资源是无与伦比的,有时候在推广新业务时给大家带来不便,也请大家多多谅解,中国电信还是诚信第一的

sbyguli · 发表于 2006-11-4 20:10:58

顶死中国电信啦~~~~~~~~~~~~~~~~

xdy0713 · 发表于 2006-11-15 14:32:04

呵呵.
我家里,就一台机器,也配了个路由器.
不怕

san980 · 发表于 2006-11-15 23:30:24

今天学习了，知道什么叫做高手了！
希望不断进步，达到ＬＺ的水平！

阿多 · 发表于 2006-11-22 14:21:36

原帖由 xdy0713 于 2006-11-15 14:32 发表
呵呵.
我家里,就一台机器,也配了个路由器.
不怕

看LZ应该也使用了路由器。抓包的PC的iIP是10开头的私网IP 。

劫持的应该是HTTP的请求连接。就是发现用户有HTTP连接时候，伪造一个到互联星空的URL上去，并在用户PC的IE浏览器上还原出来。
而不是对路由器的WAN口IP发伪造包。就算路由器收到了也不会处理的。所以这个和路由器没关系的。

yinet · 发表于 2006-12-3 20:43:11

谢谢楼主的分享...

linjianmin · 发表于 2006-12-7 13:58:49

强烈鄙视电信的这种行为，学习楼主的精神

526225 · 发表于 2007-1-6 23:03:45

好文章，理论联系实际，支持！

taolixing · 发表于 2007-1-23 04:44:03

佩服佩服，实在佩服楼主的钻研精神和分析能力以及扎实的理论基础知识。坚决坚定的向楼主同志学习，努力提高自身的技术水平。

谢谢楼主，你的精神激励着众多的技术爱好者。我替大家谢谢你！！！

harker · 发表于 2007-1-23 11:21:41

学习楼主的方式，加深自己的理解，谢谢。

wjj7526012 · 发表于 2007-4-23 19:04:31

可以写一个类似的劫特软件出来不

jie172 · 发表于 2007-4-23 20:27:05

电信是怎么根据连接的状况来劫持http请求的呢？毕竟它只是在第一次的时候才劫持的啊！后面的为什么又不劫持呢？不明白！

电信弹出式广告原理分析（揭秘篇）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

楼主辛苦了

解释一下

浏览过的版块