CSNA网络分析论坛»首页 流量分析 网络分析 Anti-TCP会话劫持程序『已经改称Anti-TSH 有更新』 ...
12345下一页
返回列表 发帖
楼主: robur

Anti-TCP会话劫持程序『已经改称Anti-TSH 有更新』

[复制链接]
xyljq
发表于 2007-5-18 20:29:53 | 显示全部楼层
原帖由 robur 于 2007-5-18 19:48 发表
请你到顶楼去下载那个DebugView,看看跟踪信息,我这个程序一旦拦截过滤了某个数据包,是会及时输出Debug信息的。


下载使用中了,有拦截信息再请教你。
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-18 20:51:15 | 显示全部楼层
原帖由 chenmaochun 于 2007-5-18 20:23 发表
robur大哥,我们这的还拦截不了啊

我刚刚更新过了,请下载更新过的版本
回复

使用道具 举报

xyljq
发表于 2007-5-18 21:52:30 | 显示全部楼层
原帖由 robur 于 2007-5-18 19:48 发表
请你到顶楼去下载那个DebugView,看看跟踪信息,我这个程序一旦拦截过滤了某个数据包,是会及时输出Debug信息的。


FIN+ACK Packet Blocked!...
FIN+ACK Packet Blocked!...

输出这两行,不知道是啥意思
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-18 21:57:07 | 显示全部楼层
原帖由 xyljq 于 2007-5-18 21:52 发表


FIN+ACK Packet Blocked!...
FIN+ACK Packet Blocked!...

输出这两行,不知道是啥意思

说明已经过滤掉了你那里电信伪造的FIN+ACK包,这是为了中断你和服务器连接用的。

呃,不过,为啥劫持没有被过滤呢。。。
回复

使用道具 举报

xyljq
发表于 2007-5-18 21:59:46 | 显示全部楼层
TCP RST Attack Blocked!...
TCP RST Attack Blocked!...
TCP RST Attack Blocked!...
TCP RST Attack Blocked!...
TCP RST Attack Blocked!...
FIN+ACK Packet Blocked!...
TCP RST Attack Blocked!...
watchdog!WdUpdateRecoveryState: Recovery enabled.

[ 本帖最后由 xyljq 于 2007-5-18 22:02 编辑 ]
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-18 22:06:28 | 显示全部楼层
哦,对了,忘了跟lz解释了
TCP RST Attack Blocked!...
这个是过滤了电信伪造的二次握手数据包,看来全国都在玩这个,md!!

那个,你把你的email用站内短信给我,我给你发一个跟踪错误的版本,我看看哪里出问题了。
发论坛上不太好。
回复

使用道具 举报

lovehuhu
发表于 2007-5-19 00:50:50 | 显示全部楼层
太牛拉!!!
回复

使用道具 举报

chenmaochun
发表于 2007-5-19 13:18:30 | 显示全部楼层
原帖由 robur 于 2007-5-18 20:51 发表

我刚刚更新过了,请下载更新过的版本


谢谢,我已经装了,能够拦截了
回复

使用道具 举报

xyljq
发表于 2007-5-19 18:07:10 | 显示全部楼层
04.518.8用DebugView跟踪出现如下消息:
[2388] vista CKernelAPIHook::_CreateFileW E FILE_TYPE_DISK
[2388] vista CKernelAPIHook::_CreateFileW E FILE_TYPE_DISK
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-19 18:12:51 | 显示全部楼层
原帖由 xyljq 于 2007-5-19 18:07 发表
04.518.8用DebugView跟踪出现如下消息:
vista CKernelAPIHook::_CreateFileW E FILE_TYPE_DISK
vista CKernelAPIHook::_CreateFileW E FILE_TYPE_DISK

我发誓这个不是我的程序输出的Debug消息

怎么是Vista,难道你用的Vista??
回复

使用道具 举报

xyljq
发表于 2007-5-19 18:20:18 | 显示全部楼层
这个是我今天在另一台电脑新做的系统,可能跟主题包有关系吧。我也纳闷怎么会有VISTA呢

昨晚发送的那些跟踪资料,有没有什么地方可疑的?

[ 本帖最后由 xyljq 于 2007-5-19 18:25 编辑 ]
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-19 18:36:42 | 显示全部楼层
我实话跟你说,你给我的Log文件看上去一点问题都没有。
你第一台机器,今天给我的Log,已经明显表示过滤了电信的会话劫持,以及伪造的FIN+ACK。

第二台机器,可以正确获得TCP和IP的长度,也可以获得端口、序列号什么的,但是为啥数据包的数据段抓不出来,我也不清楚。。。可能是驱动设计的问题吧,但是既然前面能行,后面为什么就不行呢。
回复

使用道具 举报

xyljq
发表于 2007-5-19 18:51:48 | 显示全部楼层
原帖由 robur 于 2007-5-19 18:36 发表
我实话跟你说,你给我的Log文件看上去一点问题都没有。
你第一台机器,今天给我的Log,已经明显表示过滤了电信的会话劫持,以及伪造的FIN+ACK。

第二台机器,可以正确获得TCP和IP的长度,也可以获得端口、序 ...


我也不明白,要不用科来再抓数据包分析?
回复

使用道具 举报

xyljq
发表于 2007-5-19 18:53:37 | 显示全部楼层
装上04.518.8,玩QQ游戏频繁掉线。
[3996] TRACE:ItemUse CItemUseRequest::ReleaseItemProtocolHandler
[3996] TRACE:ItemUse UnRegisterExternProtocolHandler(0x06748380)
[3996] TRACE:ItemUse Release ItemProtocalHandle(0x06748380)
[3996] TRACE:ItemUse Support Protocal 2 Version(1), MainServer Version(21119200)
[3996] TRACE:ItemUse Initialize Item entry
[3996] TRACE:ItemUse Create itemuse protocol handler
[3996] TRACE:ItemUse Create itemuse protocol handler,register it to base protocol handler
[3996] TRACE:ItemUse RegisterExternProtocolHandler(0x06751db0)
[3996] TRACE:ItemUse CItemUseRequest::ReleaseItemProtocolHandler
[3996] TRACE:ItemUse UnRegisterExternProtocolHandler(0x06751db0)
[3996] TRACE:ItemUse Release ItemProtocalHandle(0x06751db0)
[3996] TRACE:ItemUse Support Protocal 2 Version(1), MainServer Version(21119200)
[3996] TRACE:ItemUse Initialize Item entry
[3996] TRACE:ItemUse Create itemuse protocol handler
[3996] TRACE:ItemUse Create itemuse protocol handler,register it to base protocol handler
[3996] TRACE:ItemUse RegisterExternProtocolHandler(0x0674da10)
[3996] This object (pObject=0x0674f3c0) is not created by this factory(UIFactory)!
[3996] TRACE:ItemUse Initialize RoomItemBar
[3996] TRACE:ItemUse Create room item bar ui
[3996] TRACE:ItemUse Query room item info from itemshop
[3996] TRACE:ItemUse Query successful!
[3996] TRACE:ItemUse Add Item To CommonItemBar, ItemID is 300003084
[3996] TRACE:ItemUse Add Item To CommonItemBar, ItemID is 300003134
[3996] TRACE:ItemUse Add Item To CommonItemBar, ItemID is 300003157
[3996] TRACE:ItemUse Add Item To CommonItemBar, ItemID is 300003144
[3996] TRACE:ItemUse Add Item To CommonItemBar, ItemID is 300003116
[3996] TRACE:ItemUse Update Item To CommonItemBar, ItemID is 300003144
回复

使用道具 举报

chenmaochun
发表于 2007-5-20 11:34:01 | 显示全部楼层
怎么装了这个后就不能开qq邮箱了呢?奇怪
回复

使用道具 举报

chenmaochun
发表于 2007-5-20 11:41:42 | 显示全部楼层
不能登陆时的代码是
<noscript><center><div style='width:760px;background:#fff9e3;border:1px solid #fadc80;height:48px;padding-top:16px;font:bold 12px verdana;margin:28px 8px'>对不起,您的浏览器不支持或已经禁止了网页脚本(JavaScript),无法正常登录QQ邮箱。<a href='/help/error_noscript.html' title='了解更多网页脚本限制的信息' style='color:#039'>如何解决这个问题?</a><div></center></noscript>
<META http-equiv=Refresh content='0; url=http://m42.mail.qq.com/cgi-bin/frame_html?sid=NzI3NzIyMjUyNTYzOTE3MjEz272553123&target=today'>
回复

使用道具 举报

chenmaochun
发表于 2007-5-20 13:23:43 | 显示全部楼层
robur大哥,我把这个转到我的论坛了
http://www.91028.com/showtopic-52.aspx
你不会怪我吧,我也是希望更多的受害者能用到这个程序!
如果你觉得不行的话,我可以删除的!
回复

使用道具 举报

xyljq
发表于 2007-5-20 16:23:57 | 显示全部楼层
这个程序在泉州地区已经无效了,网站也上不了,QQ游戏也无法玩。

[ 本帖最后由 xyljq 于 2007-5-20 16:33 编辑 ]
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-20 16:50:26 | 显示全部楼层
我很遗憾,本程序不具有广谱性。

为什么当初我要开源呢?就是一个引子,希望大家可以在这个基础上来修改,打造出适合自己的过滤程序。

数据包文件,和Debug信息,只能是分析的一部分。对于你们来说,我就是“远程”了,怎么都不可能像本地一样方便。你们看到的是一个样子,我看到的又是一个样子。

我也有点爱莫能助了,对不起啊。。。
回复

使用道具 举报

xyljq
发表于 2007-5-20 17:18:38 | 显示全部楼层
原帖由 robur 于 2007-5-20 16:50 发表
我很遗憾,本程序不具有广谱性。

为什么当初我要开源呢?就是一个引子,希望大家可以在这个基础上来修改,打造出适合自己的过滤程序。

数据包文件,和Debug信息,只能是分析的一部分。对于你们来说,我就 ...


这不怪你,你也挺热心的,只能怪电信无理由封路由,难道大家都得一台电脑拉一条宽带
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-20 19:45:00 | 显示全部楼层
xyljq,你收一下,我给你的信箱里发送另外一个版本
回复

使用道具 举报

xyljq
发表于 2007-5-21 16:11:38 | 显示全部楼层
原帖由 robur 于 2007-5-20 19:45 发表
xyljq,你收一下,我给你的信箱里发送另外一个版本


收下了,谢谢你!有机会的话得向你好好学学这方面的知识!

装上这个版本后有这两行数据:
[2728] CShockWaveFlash :: QueryService
[2728] CShockWaveFlash :: QueryService

是啥意思?

[ 本帖最后由 xyljq 于 2007-5-21 16:30 编辑 ]
回复

使用道具 举报

Roy
发表于 2007-5-21 16:20:40 | 显示全部楼层
最近有点忙,来CSNA的时间不多。
特别来支持一下robur的新作。
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-21 22:27:25 | 显示全部楼层
原帖由 xyljq 于 2007-5-21 16:11 发表


收下了,谢谢你!有机会的话得向你好好学学这方面的知识!

装上这个版本后有这两行数据:
CShockWaveFlash :: QueryService
CShockWaveFlash :: QueryService

是啥意思?

不是我的程序输出的。。。。
回复

使用道具 举报

chenmaochun
发表于 2007-5-22 19:55:18 | 显示全部楼层
不能登陆qq邮箱的问题解决了吗?
不是我ie的问题哈?虽然提示说是ie设置问题,但是其他设置都是对的
只要把过滤程序关了,就能正常开qq邮箱的
回复

使用道具 举报

990209
发表于 2007-5-27 05:53:48 | 显示全部楼层
河南网通,无规律弹出来http://www.yes58.net/index.html的网页

无意抓到的,无关数据比较多,不会过滤,麻烦帮忙分析下

当时是在运行wow的登录程序弹出的

wow的登录程序需要访问一些网页,还有ping一些地址来得到服务器状态

机子装有5.20版

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

990209
发表于 2007-5-27 06:08:08 | 显示全部楼层
打开http://news.163.com/时弹出http://www.mypgl.com/index.htm

应该不是网易的广告吧,不过以前没弹出过这个页面

凑巧抓包了,麻烦看下,谢谢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

990209
发表于 2007-5-27 06:23:58 | 显示全部楼层
这是我登录新浪UT弹出来的广告

新浪UT登录后会弹出来一个小窗口,游戏新闻之类的东西,这是正常的

但是我遇到的是窗口里还有一个窗口是彩信什么乱七八糟的,点了后连接到新浪,但是我可以肯定这不是新浪的广告

因为这个窗口用的swf和图片都存放在219.157.148.155上

219.157.148.155郑州的,而我用的又是河南网通的线路,所以我怀疑这是网通的劫持广告,凑巧抓了下来,麻烦分析下

前面的数据是新浪UT的登录数据

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-27 21:18:31 | 显示全部楼层

To:990209

你的第一个包文件和第三个包文件我都已经分析
发现确有会话劫持发生,而且特征码都包含於我的程序中,理论上可以识别。

但是目前发现部分计算机,无法进行数据包的模式匹配,不知何故,我正在思考。
回复

使用道具 举报

990209
发表于 2007-5-28 00:34:47 | 显示全部楼层
十分感谢。。

加油加油。。
回复

使用道具 举报

下一页 »
12345下一页
返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表