V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
iptux
V2EX  ›  宽带症候群

运营商劫持如此丧心病狂,该如何破解?

  •  
  •   iptux · 2014-07-12 23:14:02 +08:00 · 9692 次点击
    这是一个创建于 3787 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天发现访问度娘的时候被加上了推广代码 tn=19045005_29_pg
    第一反应是 DNS 被劫,检查发现 DNS 没问题
    先用“审查元素”看,晓得是被 302 了
    再上神器 Wireshark 看具体数据包



    101 号是发送 HTTP GET
    102 号是运营商伪造的 TCP 数据包 302
    106 号才是来自度娘的数据包
    因为是重复 ACK,于是度娘链接被浏览器 RST
    之后浏览器按照 302 跳到新网址

    大概其他网站也被这样劫持了吧

    但是这种劫持应该如何破解?我读书少,想不出破解之法
    第 1 条附言  ·  2014-07-13 15:19:12 +08:00
    已确定是四川电信骨干网节点 202.97.70.229 处存在旁路监听劫持
    http://www.v2ex.com/t/120713http://www.v2ex.com/t/120674
    也就是说四川省内都会存在这种情况,sign

    上神器 iptables 过滤之

    一开始只用 ip.id == 0 过滤,结果很多其他包也被过滤掉了
    然后试着把 ip.ttl > 200 加入过滤条件,后面觉得不靠谱,就去掉了
    考虑到劫持都是发送 302,HTTP 头部 HTTP/1.1 302 加上 Location 字段,再加上 IP 头 20 字节,TCP 头 20 字节,IP 包总长基本上就超过了 64 字节
    最后把 ip.len >= 64 加上,过滤效果良好

    于是在路由器中添加以下过滤命令

    iptables -A INPUT -m u32 --u32 "0&0xffff=0x40:0xffff && 0x2&0xffff=0" -j DROP

    参数解释:
    0&0xffff=0x40:0xffff :相当于 ip.len >= 64
    0x2&0xffff=0 :相当于 ip.id == 0

    更多 u32 模块资料参见 http://www.stearns.org/doc/iptables-u32.current.html
    13 条回复    2014-07-28 14:55:05 +08:00
    kqz901002
        1
    kqz901002  
       2014-07-12 23:20:56 +08:00
    投诉运营商 投诉到工信部 法律途径
    bobopu
        2
    bobopu  
       2014-07-12 23:33:52 +08:00
    哪家运营商?
    DreaMQ
        3
    DreaMQ  
       2014-07-12 23:34:30 +08:00 via Android
    iptux
        4
    iptux  
    OP
       2014-07-12 23:35:47 +08:00
    @bobopu 成都艾普
    bobopu
        5
    bobopu  
       2014-07-13 01:41:01 +08:00 via iPad
    这种小型运营商就喜欢玩劫持,试着给工信部投诉下吧。最好换一家。
    shippo7
        6
    shippo7  
       2014-07-13 02:32:00 +08:00
    现在运营商都这么会赚钱啊 推广联盟不得赔死
    txlty
        7
    txlty  
       2014-07-13 02:55:10 +08:00



    劫持技术比我这边落后一些。
    解决办法是请运营商对你去掉劫持。不想被重点关照?那就无解。
    Shieffan
        8
    Shieffan  
       2014-07-13 03:14:04 +08:00 via iPhone
    一般只能从ip的id跟ttl字段来总结特征过滤,但不一定能提取到可靠稳定且可操作的特征。

    投诉吧,如果需要附带证据,那就根据伪造包的ttl结合traceroute来反推出存在tcp劫持的路由节点。
    miao
        9
    miao  
       2014-07-13 11:01:11 +08:00
    楼主.我湖南联通也经常搞这种事.
    KokongW
        10
    KokongW  
       2014-07-13 11:36:03 +08:00
    浙江联通最近也搞这种事,不断投诉后,几天前解除了。
    penjianfeng
        11
    penjianfeng  
       2014-07-13 19:54:40 +08:00
    四川联通也是这样。。。每次脸上都要弹出世界杯的广告。。。
    julyclyde
        12
    julyclyde  
       2014-07-14 12:12:33 +08:00
    举报到广告联盟那里就行了
    扣发广告费
    iptux
        13
    iptux  
    OP
       2014-07-28 14:55:05 +08:00
    最近那厮又升级了,直接复制了请求包的 id 字段,ip.id==0的判断已经失效了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   963 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 21:11 · PVG 05:11 · LAX 13:11 · JFK 16:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.