今天抓包分析了一下本地电信的http劫持，求对策

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

This topic created in 5291 days ago, the information mentioned may be changed or developed.

抓包分析结果：
1. TCP三次握手后，浏览器会发出一个get请求
2. 此时ISP(或者和ISP勾结的)会先于目标网站返回一个页面，包含一个frame指向目标网站
3. 目标网站真正的返回就reset了

ISP强行插入的包TTL不同于目标网站的包，并且包含有FIN PSH ACK标志

想用iptables丢掉这个包，但是第一对iptables不熟不确定规则如何写，二来不确定特征是否唯一怕误杀别的正常包

ISP

网站

抓包

24 replies • 2012-03-27 10:06:18 +08:00

haohaolee

Nov 11, 2011

讽刺的是我点发送这个帖子的时候就被劫持了，真恼火

icyflash

Nov 11, 2011

电话10000，语气一定要强硬

haohaolee

Nov 11, 2011

打了，他们完全无法沟通，只会问是不是电脑中毒了
另外，投放的广告ip来自省级电信，不是我们这小地方的，难说是本地电信搞的

Nov 11, 2011

工信部投诉，会有人联系您的~

qwertyjing

Nov 11, 2011

据说某些电信官网有关闭选项。
投诉电话还是要打，就说用的Linux/Mac，上自己的站都有，不解决就一直打。

vising

Nov 11, 2011

LZ是哪里的电信？我用杭州电信也有这个iframe，iframe的js文件所在服务器IP却是湖北电信的。

jeeson

Nov 11, 2011

北京联通这边劫持也非常严重, 国内国外网站都劫持. 打了投诉电话, 也到工信部网站投诉了, 问题依旧. 这几天似乎消失了.

有几天严重到让人抓狂, 当时想编一个插件, 一发现就对劫持网站连续发大量"问候", 不过这个要不是大量用户对他们没有影响

haohaolee

Nov 11, 2011

@vising 就是湖北电信的，md。明天试试投诉看看

haohaolee

Nov 11, 2011

而且访问v2ex似乎特别严重，3次有一次被劫持。一旦发现地址栏的地址不变化了就知道被劫持了

evlos

Nov 11, 2011

当时被劫持的时候，换了google的dns就好了 (￣▽￣")。

fim8

Nov 11, 2011

最近除了访问不存在的域名会跳转到网址大全. 其他比如访问淘宝新蛋凡客跳转的返利页面都没有了. 不知道为什么.

haohaolee

Nov 11, 2011

@evlos 不是dns劫持，是http劫持，伪装目标网站的响应

Hyperion

Nov 11, 2011

我这里几个月前也这样, 但最近收敛很多. 一般这种广告好像针对性很强, 应该都是当地电信搞的鬼. 骚扰下客服, 一般可以搞定.

电信在qq上搞了个客服系统, 可以尝试的加一下. 配合截图, 不管对面装不装傻, 反复折腾之...

表示可以用油猴脚本凑合用用, 检测到frame就刷页面...

iptable, 参考一下屏蔽QQ的方法吧...

vising

Nov 11, 2011

一般看到title显示为网址了，十有八九是被劫持了。

evlos

Nov 11, 2011

@haohaolee 0 0 技术升级了。。。。