Anti-TCP会话劫持程序『已经改称Anti-TSH 有更新』

robur · 发表于 2007-5-15 21:18:12

我不知道你的机器怎么设置的，TCP响应超时的时间那么段呢。。。
重发数据包啊，这给我看的。。。

你的机器发送SYN到目标，由于计数器超时，发了2次……
目标返回给你正确的SYN+ACK
你的机器发送ACK给目标

接收了伪造的HTTP响应，估计又转到XX星空的页面去了吧
然后给你伪造一个FIN+ACK，请求结束连接
你的机器返回了ACK，又返回了FIN+ACK（又是超时，发送了好几遍）

不知道目标网站正确的返回到哪里去了？？？？

xd，共享X盾那东西我没研究过，建议你换一个网络分析软件，科来或者Sniffer Pro，关闭任何可能会对网络数据包分析造成影响的网络程序……

xiasixia · 发表于 2007-5-15 23:19:25

有点看不懂，前面十几个怎么是HTTP协议呢？我只看到TCP协议嘛

xyljq · 发表于 2007-5-16 17:23:12

原帖由 robur 于 2007-5-15 21:18 发表
我不知道你的机器怎么设置的，TCP响应超时的时间那么段呢。。。
重发数据包啊，这给我看的。。。

你的机器发送SYN到目标，由于计数器超时，发了2次……
目标返回给你正确的SYN+ACK
你的机器发送ACK给目标 ...

这是我用科来捕获的数据包，请帮我分析一下。谢谢！

[ 本帖最后由 xyljq 于 2007-5-16 18:19 编辑 ]

robur · 发表于 2007-5-16 22:37:42

原帖由 xyljq 于 2007-5-16 17:23 发表
这是我用科来捕获的数据包，请帮我分析一下。谢谢！

找到原因了，呵呵
刚才在网上搜索一下，看来泉州电信还真的很流氓啊～装路由要500米啊，日它～

是电信通过某种方法检测到你用路由，然后在你访问网站发送GET请求之后，嗅探到你的请求，根据你这个请求所在TCP包的序列号的确认号，伪造一个HTTP响应给你，然后再伪造一个FIN+ACK给你，请求结束连接。

并没有屏蔽掉你跟服务器之间的真实通信，只是它的返回伪造数据包的速度太快，真的回来的时候，序列号已经被占用了，所以就被你的系统丢弃了。
跟网通插广告是一个道理哈～～～谢谢你的数据包，我可以更新程序了

xyljq · 发表于 2007-5-17 07:40:48

多谢了。那更新程序什么时候能有？

robur · 发表于 2007-5-17 13:46:31

原帖由 xyljq 于 2007-5-17 07:40 发表
多谢了。那更新程序什么时候能有？

Code已经写好了，就是太晚了，没有编译及测试。
今天回去再搞啊，请关注顶楼的更新信息。
昨天熬夜整的，困死我了今天。。。

xyljq · 发表于 2007-5-17 13:53:33

原帖由 robur 于 2007-5-17 13:46 发表

Code已经写好了，就是太晚了，没有编译及测试。
今天回去再搞啊，请关注顶楼的更新信息。
昨天熬夜整的，困死我了今天。。。

让你这么费心真是不好意思了。
身体是本钱，别忙坏了。

xyljq · 发表于 2007-5-17 20:03:38

装了5.17版本后不能访问，这是我截获的数据包，请分析是啥原因？

chenmaochun · 发表于 2007-5-17 20:29:50

我是四川电信的,有2种代码,能屏蔽吗
<HTML>
<script language="JavaScript">
function newwin()
{
var urlname;
var win_attr;
win_attr='toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=10000,left=10000 ';
window.open('http://220.167.29.103:9123/ndatin.aspx?param=xxxxxxxxxx&ref=1','ips_win0',win_attr);
}
</script>
<head>
<title>
</title>
<META HTTP-EQUIV="ragma" C>
<META http-equiv="Content-Type" c>
<meta http-equiv="Refresh" c>
</head>
<body onload='newwin()'>
</body>
</html>
<HTML>
<frameset border='0' frameSpacing='0' rows='0,100%' frameBorder='0'>
<frame id ='frm123' name='frm123' src='http://220.167.29.103:9123/ndatin.aspx?param=xxxxxxxxxx&ref=1'>
<frame id ='frmOLD' name='frmOLD' src='http://www.baidu.com/?'>
</frameset>
</HTML>

chenmaochun · 发表于 2007-5-17 20:31:35

对了,那个服务是安装在网卡上,还是拨号的那个连接上?

robur · 发表于 2007-5-17 20:32:55

原帖由 xyljq 于 2007-5-17 20:03 发表
装了5.17版本后不能访问，这是我截获的数据包，请分析是啥原因？

哥们，你啥系统来着，是xp 32bit版吧……

我似乎犯错误了，呃……不小心把2K3的版本发上来了……勿怪

xyljq · 发表于 2007-5-17 20:47:56

原帖由 robur 于 2007-5-17 20:32 发表

哥们，你啥系统来着，是xp 32bit版吧……

我似乎犯错误了，呃……不小心把2K3的版本发上来了……勿怪

呵呵，是XP 32bit的，可能是你太累了吧，注意身体哦

xyljq · 发表于 2007-5-17 20:50:54

原帖由 chenmaochun 于 2007-5-17 20:31 发表
对了,那个服务是安装在网卡上,还是拨号的那个连接上?

网络连接属性里－－安装－－服务然后选择程序所在的目录打开*.INF文件添加

[ 本帖最后由 xyljq 于 2007-5-17 20:54 编辑 ]

chenmaochun · 发表于 2007-5-17 21:06:41

有一个本地连接,一个是网卡的,一个是拨号的啊!

xyljq · 发表于 2007-5-17 22:12:08

本地连接里添加服务

robur · 发表于 2007-5-17 23:25:42

原帖由 xyljq 于 2007-5-17 20:47 发表

呵呵，是XP 32bit的，可能是你太累了吧，注意身体哦

又测试了么，怎么样了结果。。。呃

xyljq · 发表于 2007-5-17 23:50:14

应该能行了，明天再详细测试。谢谢了

chenmaochun · 发表于 2007-5-18 08:09:20

装上了,在测试,谢谢

xyljq · 发表于 2007-5-18 09:46:45

原帖由 robur 于 2007-5-17 23:25 发表

又测试了么，怎么样了结果。。。呃

还不行，除了泉州本地的网站能访问，泉州外的不能访问，有时还是会被电信劫持到另一页面去。

[ 本帖最后由 xyljq 于 2007-5-18 11:02 编辑 ]

chenmaochun · 发表于 2007-5-18 11:21:47

还是被劫持,这个是代码
<HTML><frameset border='0' frameSpacing='0' rows='0,100%' frameBorder='0'>
<frame id ='frm123' name='frm123' src='http://220.167.29.102:5001/html/default.aspx?param=ABcHJvdmluY2VpZD04JmNpdHlpZD0xNCZjbGFzc2lkPTE0MjEmdXNlcm5hbWU9bmMyMzE1MTQ2JnNvdXJjZXVybD13d3cuNTYuY29tLw==&ref=1'><frame id ='frmOLD' name='frmOLD' src='http://220.167.29.102:5001/html/default.aspx?param=ABcHJvdmluY2VpZD04JmNpdHlpZD0xNCZjbGFzc2lkPTE0MjEmdXNlcm5hbWU9bmMyMzE1MTQ2JnNvdXJjZXVybD13d3cuNTYuY29tLw==&ref=2'></frameset></HTML>

robur · 发表于 2007-5-18 12:38:34

ok，I'll check it...

F*ck China Telecom & China Netcom

xyljq · 发表于 2007-5-18 12:44:17

Thank you!

Wish you success!

chenmaochun · 发表于 2007-5-18 12:53:25

robur · 发表于 2007-5-18 12:57:33

原帖由 xyljq 于 2007-5-18 12:44 发表
Thank you!

Wish you success!

对了，我调查一下，你用了0.4.517.7版后，跟不用有什么区别？？
另：感谢你的数据包文件

xyljq · 发表于 2007-5-18 13:13:45

原帖由 robur 于 2007-5-18 12:57 发表

对了，我调查一下，你用了0.4.517.7版后，跟不用有什么区别？？
另：感谢你的数据包文件

不用0.4.517.7版只要超过3台电脑就会被劫持（访问泉州外的网站），用了之后超出3台有时候能使用，有时候不能使用（不能使用时会提示找不到服务器，偶尔会弹出电信的页面）。

再者用了0.4.517.7版好像访问网站的速度有所提高（adsl 3m的速率）

robur · 发表于 2007-5-18 19:30:02

怎么会有过滤不了的道理呢，我to xyljq：
你们那里的劫持，我都亲自制作数据包发送测试，完全可以拦截的。

另外，我怀疑你们那里的DNS有问题。
请你更换一个DNS看看吧。

xyljq · 发表于 2007-5-18 19:36:12

原帖由 robur 于 2007-5-18 19:30 发表
怎么会有过滤不了的道理呢，我to xyljq：
你们那里的劫持，我都亲自制作数据包发送测试，完全可以拦截的。

另外，我怀疑你们那里的DNS有问题。
请你更换一个DNS看看吧。

DNS是路由器自动取得的，应该没问题吧。

robur · 发表于 2007-5-18 19:48:20

请你到顶楼去下载那个DebugView，看看跟踪信息，我这个程序一旦拦截过滤了某个数据包，是会及时输出Debug信息的。

jxj0918 · 发表于 2007-5-18 20:00:02

看不懂.呵呵.只知道ISP流氓,却不太会对付.

chenmaochun · 发表于 2007-5-18 20:23:53

robur大哥,我们这的还拦截不了啊

Anti-TCP会话劫持程序『已经改称Anti-TSH 有更新』

能说明如何分析那个包吗

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源