HTTP会话劫持检测程序(4月6日最后更新！)

robur · 发表于 2007-1-26 15:38:36

打倒流氓ISP，人人有责！

专为对付网通、电信会话劫持行径的检测程序，注意，该版本只能检测用……
特别适合强制广告弹出无规律地区

2007年2月1日，再次更新！！
具体内容请参见新版的使用说明！

刚才捕获了一个，用基于TTL检测的那个，大家看看：
程序显示的是：

源IP[218.57.9.53] -> 目的IP[218.61.152.236] bytes=581 TTL=53
Port:80->2429 紧急位重置位同步位

这是伪造的返回，这个地址是edu.sina.com.cn，真正的TTL应该是51
被劫持后立即运行Tracert的结果

  1 14 ms 14 ms 15 ms  218.61.152.1
  2 89 ms 28 ms 20 ms  218.25.5.85
  3 14 ms 15 ms 14 ms  218.25.4.209
  4 17 ms 18 ms 14 ms  218.25.0.145
  5 14 ms 15 ms 16 ms  218.25.2.101
  6 18 ms 18 ms 17 ms  218.61.254.193
  7 15 ms 14 ms 14 ms  218.61.254.185
  8 29 ms 27 ms 29 ms  219.158.6.33
  9 35 ms 34 ms 47 ms  219.158.6.138
10 37 ms 34 ms 36 ms  218.57.243.118
11 131 ms 133 ms 134 ms  60.215.131.158
12 134 ms 135 ms 133 ms  218.57.8.222
13 39 ms 35 ms 35 ms  edu.sina.com.cn

刚才还发现一次，结果Sina服务器返回太快了，把假的给盖了，唉～～～证实了我的推断，就是拼响应时间啊！

下面是Demo1程序捕获的一次会话劫持

选择工作模式: (T 测试 , M 监控)m
检测到1块活动的网络适配器
网络适配器最小值0,最大值0
选择一个网络适配器:0

定义一个特征码:mainframe

现在工作在监控模式 ,指定的特征码为 mainframe ,CTRL+C退出...

源IP[219.142.78.61] -> 目的IP[192.168.1.26]
bytes=581 TTL=51

t-type: text/html

<html><meta http-equiv='Pragma' c><head><title></title><script
LangUage='JavaScript'>try{var tmp=parent.window.location.href}catch(e){window.lo
cation.reload();}</script></head><frameset framespacing=0 border=0 rows='*,0' fr
ameborder=0 http://202.96.82.55/sms15/sms.h" target=_blank>http://202.96.82.55/sms15/sms.h
tml?url='+window.location;"><frame name='lxmainframe' src='about:blank' scrollin
g='auto'><frame name='lxblankframe' src='about:blank' scrolling='no'></frameset>
</html>

Port:80->3216 紧急位重置位同步位

下面是Demo2程序捕获的一次会话劫持

键入一个IP地址(*.*.*.*):218.57.9.53
键入一个参考TTL(1~254):49
键入一个TTL误差(0<= n <=5):1
现在工作在监控模式 ,CTRL+C退出...

源IP[218.57.9.53]->目的IP[192.168.1.26]
585字节 TTL=51 协议[TCP]
t-type: text/html

<html><meta http-equiv='Pragma' c><head><title></title><script
LangUage='JavaScript'>try{var tmp=parent.window.location.href}catch(e){window.lo
cation.reload();}</script></head><frameset framespacing=0 border=0 rows='*,0' fr
ameborder=0 http://www.024fan.com/guanggao/" target=_blank>http://www.024fan.com/guanggao/
ad.html?url='+window.location;"><frame name='lxmainframe' src='about:blank' scro
lling='auto'><frame name='lxblankframe' src='about:blank' scrolling='no'></frame
set></html>

多谢支持！

==========我是分隔线（4月6日）==========

今天，这个程序也就是最后一次更新了。
本程序也彻底完成了历史使命。
更新到Beta1了，算是最终纪念版吧，基本没有什么bug了，可以当正式版使用了。
这次修复了一个弱智级别的问题，就是一个数据包内容指针的定位问题，原来的数据包内容总取不全。

希望这个程序，能对大家日后的网络分析，有所帮助。

[ 本帖最后由 robur 于 2007-4-6 14:57 编辑 ]

cwym29 · 发表于 2007-1-26 16:48:12

分析专家就是不一样啊。
用了，感觉非常的不错，不过有点疑问。
1. 在监控模式下，楼主为何不在程序中直接定义一些常见的特征码，因为大多数用户不知道特征码是什么。
2. 原理是根据TTL来判断的吗？

逍遥一指令 · 发表于 2007-1-26 17:49:00

robur 兄果然厉害
不知道论坛是否对我引荐有功进行嘉奖呢
呵呵

菜鸟人飞 · 发表于 2007-1-26 17:55:11

原帖由 逍遥一指令 于 2007-1-26 17:49 发表
robur 兄果然厉害
不知道论坛是否对我引荐有功进行嘉奖呢
呵呵

奖励分明！

逍遥一指令 · 发表于 2007-1-26 20:48:48

13跳的话
那么TTL的值就该为51啊

ValorZ · 发表于 2007-1-28 21:31:27

有无source code 共享一下啦？

robur · 发表于 2007-2-2 00:37:57

原来的程序有问题，修复了
据测试，可以正常使用！！

希望能对全国饱受ISP会话劫持侵害的朋友有所帮助

菜鸟人飞 · 发表于 2007-2-2 09:18:29

robur兄，你送佛送到西，把特征码的定义方法告诉大家，并顺便举个例，呵呵。

robur · 发表于 2007-2-2 10:02:03

下面我把定义特征码的方法给大家说一下。

其实所谓“特征码”，就是会话劫持设备伪造的响应中，比较特殊的一个部分。
也就是说，我们只要掌握了会话劫持设备伪造的响应的内容，就可以方便地定义特征码了。

如何获取伪造响应的内容？

当你发现一个会话劫持发生时，（比如平时没有广告的网页，突然弹出一个BT无比的广告，最大的特点是，网页打开后，IE的窗口标题却显示URL地址，而不是该网页的标题文字内容）
那么你可以立即使用浏览器的查看源文件功能。

一般地，这个源文件的内容，就是会话劫持设备伪造的响应内容了。

然后我们找到其中比较特殊的一段，比如我顶楼里面发的那个，伪造的响应中使用一个Frame来显示广告，那个frame的名字是“lxmainframe”。我们就可以用这个单词来作为特征码了。

一般地，特征码越复杂，误报的可能性就越小，当然，漏报的可能性就越大。各位自己权衡吧。

robur · 发表于 2007-2-2 10:15:31

已经补发源文件，各位可以参考

ValorZ · 发表于 2007-2-2 12:31:20

原帖由 robur 于 2007-2-2 10:15 发表
已经补发源文件，各位可以参考

多谢
编译环境是什么?我在VS 2005中用VC++ .NET编译失败了

[ 本帖最后由 ValorZ 于 2007-2-2 12:54 编辑 ]

robur · 发表于 2007-2-2 14:06:46

原帖由 ValorZ 于 2007-2-2 12:31 发表

多谢
编译环境是什么?我在VS 2005中用VC++ .NET编译失败了

编译环境是VS 2003 .Net，Win32控制台程序。

harker · 发表于 2007-2-2 21:55:02

精品，顶啊。。。。

java-g · 发表于 2007-2-2 23:58:12

果然厉害

robur · 发表于 2007-2-9 00:10:55

好久不来，其实最近正在潜心研究对付HTTP会话劫持的终极技术……

放个话出来，可以屏蔽HTTP会话劫持的程序已经有了一个蓝本，目前正在跟踪最后的一些Bug……

当然，因为这个程序是用服务提供者接口做的，一旦出现问题，连网都上不去。所以就不把测试版的程序拿出来晒了……我目前正在虚拟机里面测试，呵呵……

gfwyzxj · 发表于 2007-2-14 20:45:41

作为第一批内测使用者，坚决支持楼主！

playerwhj · 发表于 2007-3-14 11:25:51

向你学习!!!
让流氓ISP解体!!!

hopehands · 发表于 2007-4-24 17:26:49

呵呵，，，，试试这东西

chenmaochun · 发表于 2007-5-17 15:44:26

向你学习!!!
让流氓ISP解体!!!

lcylcyll · 发表于 2007-6-25 08:20:16

这么好的东西一定要试一下哦！！

coolg · 发表于 2007-7-12 16:58:10

我这儿也给封了。。。
今天总算搞明白了是怎么回事，，，
谢谢大家。。。

houyf · 发表于 2007-8-22 22:43:37

thank you!

wuliang520 · 发表于 2007-8-23 19:01:03

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1027 TTL=128
Port:139->1160  重置位  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1500 TTL=128
Port:139->1160  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=1027 TTL=128
Port:139->1160  重置位  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=52 TTL=128
Port:667->1678  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=52 TTL=128
Port:667->1678  紧急位  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=64 TTL=128
Port:667->1679  确认位  同步位

协议[TCP]
源IP[192.168.0.252] -> 目的IP[192.168.0.111] bytes=52 TTL=128
Port:667->1679  同步位

请问这个是不是说明252那台电脑有问题~游戏服务器
111是本机

wuliang520 · 发表于 2007-8-23 19:12:03

顺便问一下
会话劫持会不会引起外网掉包？

xhcyy · 发表于 2007-9-21 18:00:47

打倒流氓ISP，人人有责！

凭楼主这句话，我就往死里定！！！

film · 发表于 2007-10-18 13:08:08

高手啊!
谢谢了!
让流氓ISP解体!!!

朶臉疍 · 发表于 2007-10-30 15:25:11

过来看看嘿嘿

朶臉疍 · 发表于 2007-10-30 15:25:26

过来看看嘿嘿

朶臉疍 · 发表于 2007-10-30 15:29:21

....来过了谢谢你

royallin · 发表于 2008-9-6 16:54:39

支持一下，最近被劫持了，真烦。
广东网通ADSL

HTTP会话劫持检测程序(4月6日最后更新！)

本帖子中包含更多资源

评分

评分