来源:蜘蛛抓取(WebSpider)
时间:2016-05-16 19:14
标签:
5544
电信强制推送恶意弹窗广告分析
聪明的流氓犯起傻来起来你也没法说什么了.安徽电信似乎又更改了广告弹出策略.
第一次弹出,似乎是跳转到
下面,这个页面可以跟上一个url参数来确认目标.随后,安徽电信“改进”了这个页面,令它直接访问了
前面两个策略都可以使用内容审查规则轻松的屏蔽掉,可是现在,这个广告策略又再一次被改进.
这几天访问,很容易就会收到弹出窗口的提示,可是这些网站本身却并没有窗口弹出广告的相关策略。查看被弹出的广告页面,竟然是
当然,弹出窗口本身是被屏蔽了。然而,这个弹出窗口证明了广告代码已经在浏览器中被运行了一次,如果稍作修改,便可让你真切体会到推送消息为冬日为您带来的温暖。可是这个页面闪的太快了,以至于无法了解是从什么地方被传过来的,直到有一天深夜.....
打开Google看见浏览器状态栏提示“等待 ”,立马按下Print
Screen,保留了这张珍贵且具有纪念意义的照片。
找一个网站一查 安徽电信机房的。可惜时间已晚,于是偶睡觉去了。
这张珍贵的照片令我久久不能平静,它令我我心潮澎湃、热血沸腾.....的做了几个噩梦。
天亮,用Tracert探探路,到61.132.254.153,到达的时候反馈了Destination protocol
unreachable。我太菜,不懂什么意思,大家可以google。
然后ping了一下welcome.,发现他的IP正是61.132.254.153....于是为什么浏览器不能屏蔽的答案揭晓了——菜鸟们换用IP了,而浏览器屏蔽的是域名关键字。
看看,依然是我们久违的欢迎界面,标题栏上赫然写着“安徽电信欢迎您”这几个令人亲切+感动以至呕吐到极点的字。
我们再来看看
反馈的HTML代码。
果然在其中发现了弹出窗口的代码(像是某菜鸟使用Dreamweaver初级教程中的窗口弹出制作法完成)
这个广告弹出机制很明显,首先让这个没有被屏蔽的
弹出一个窗口,而这个窗口则打开
但是welcome2.php中并没有刷新或者跳转代码,也就是说这个窗口仅仅只能够弹出广告而已,流氓路由器还没有找到,反流氓依然任重道远。可惜我们不能整天守在浏览器前面用smsniff或者其他东西不停的听以便寻找301,只能沿着路线不准确的推断了。
用Tracert探 前往Google的路,得到以下数据。用白色框标记的是Tracert 61.132.254.153和Tracert
都必须通过的路线。这样一看很大概就知道是谁劫持的了吧。
这样说来,如果电信下三滥到这种程度,我们所能做的就是屏蔽URL里的“welcome”和“vnet”了。如果有高人能制作一个屏蔽电信和网通弹出广告的公益性浏览器插件,那么真将会造福全宇宙人民啊。
另外感叹,如果电信将广告弹出的东东插在域名系统的任何一个服务器里,那么后果...
似乎是从2006年11月底左右就开始的事情了,从我们安徽xx这里个人电信ADSL拨号上网的用户都会随机的被绑架去访问电信的网站:http://welcome./
。比如你访问的是,它给你返回上面这个新闻广告页面,但是浏览器标题栏显示是。开始我以为是DNS绑架,后来我用北京的一个DNS服务器也不行,才明白这是最近流行的会话劫持。原理就是在省内(或市内)的某个路由器旁边架设一个并联设备,这个设备窃听用户信息,并随机在用户访问某个目的网站的时候冒充目的网站返回信息,具体可以从网上搜索"电信会话劫持“之类的关键词,比如这篇:/archives/439.html
&我一直想抓这个log,看看它的手段,但是这个东西神出鬼没,不是每次访问都会被劫持,也不是每天都会被劫持,我又不能老开着sniffer,而且我那段时间比较闭塞又比较忙乱,心想:你流氓就流氓吧,我反正看我的东西,我从你的路上走,看到一两张广告也是没有办法的事情,最多按几下F5就过去了。
&但是元旦出去旅行结婚回来后,这个流氓又来了,而且以前是显示页面的,现在好像显示时间很短很短,马上会重新定向到目的网址(refresh
1)。大概是因为新婚,人高兴,手气也好,前天侥幸抓到了log,高兴啊,简单分析了一下,没有地方发表,只好发到百度空间来,算是开门第一篇吧。
&我的目的网站是blog.xfocus.net,安全焦点的blog,我比较常去,被劫持的几率是最高的,我的机器是twpc,ip地址用xxxx
xxxx代替了;blog.xfocus.net(以下简称xfocus)的地址是61.144.203.221.
& &我们来看看它劫持的过程:
----------------劫持过程--------------------
11:11:14.531250 IP twpc.1040 & 61.144.203.221.80: S
:(0) win 64800 &mss
1440,nop,nop,sackOK&
xxxx xxxx E..0.&@...UC....
& &0x cbdd
=......P........
& &0x fd20 74e2 0000
p...t...........
11:11:14.578125 IP 61.144.203.221.80 & twpc.1040: S
&mss 1460,nop,nop,sackOK&
3d90 cbdd E..0..@.7...=...
& &0x0010: xxxx xxxx
6d9a 1e68 a8ed be9c .....P..m..h....
& &0x 16d0 cf0b 0000
p...............
11:11:14.578125 IP twpc.1040 & 61.144.203.221.80: .
ack 1 win 64800
a xxxx xxxx E..(.?@...UJ....
& &0x cbdd
a8ed be9c 6d9a 1e69 =......P....m..i
& &0x fd20 157f 0000
& &P.......
11:11:14.578125 IP twpc.1040 & 61.144.203.221.80: P
1:509(508) ack 1 win 64800
d xxxx xxxx E..$.@@...SM....
& &0x cbdd
a8ed be9c 6d9a 1e69 =......P....m..i
& &0x fd20
f20 4854 P.......GET./.HT
& &0x 2f31 2e31 0d0a
626c TP/1.1..Host:.bl
& &0x 2e78 666f 6375
732e 6e65 740d 0a55 og.xfocus.net..U
& &0x 722d e
743a 204d 6f7a 696c ser-Agent:.Mozil
& &0x 2f35 2e30 2028
6f77 733b la/5.0.(W
& &0x 3b20
2035 .U;.Windows.NT.5
& &0x 3b20 656e 2d55
533b 2e .1;.en-US;.rv:1.
& &0xe 302e
f 2f32 .9).Gecko/200
& &0x00a0: 20 4669
2f 312e 61206.Firefox/1.
& &0x00b0: 352e 302e 390d 0a41
3a .9..Accept:.t
& &0x00c0: 6d 6c2c
63 6174 ext/xml,applicat
& &0x00d0: 696f 6e2f 786d 6c2c
63 6174 ion/xml,applicat
& &0x00e0: 696f 6e2f d
6c2b 786d 6c2c 7465 ion/xhtml+xml,te
& &0x00f0:
713d 302e 392c 7465 xt/q=0.9,te
& &0x 2f70 6c61 696e
3b71 3d30 2e38 2c69 xt/q=0.8,i
2c2a 2f2a 3b71 3d30 mage/png,*/*;q=0
& &0x 0d0a
c 616e 6775 .5..Accept-Langu
& &0x 653a d
6e3b 713d age:.en-us,q=
& &0xe 350d 0a41 6363
6e 636f 0.5..Accept-Enco
& &0x 6e67 3a20 677a
ding:.gzip,defla
& &0x 0d0a
te..Accept-Chars
& &0x 3a20 d
d31 2c75 et:.ISO-8859-1,u
& &0x 2d38 3b71 3d30
2e37 2c2a 3b71 3d30 tf-8;q=0.7,*;q=0
& &0x 0d0a 4b65 6570
.7..Keep-Alive:.
& &0x01a0: a43 6f6e
6e65 e3a 300..Connection:
& &0x01b0: 206b 6c
a49 662d .keep-alive..If-
& &0x01c0: 4d6f 64
Modified-Since:.
& &0x01d0: 30 3920
Tue,.09.Jan.2007
& &0x01e0: 32 3a32
0d 0a49 .03:22:28.GMT..I
& &0x01f0: 662d 4e6f 6e65 2d4d
a20 2266 f-None-Match:."f
30 21ec98009
66 019fe6ff"
& &0xa 0d0a
11:11:14.656250 IP 61.144.203.221.80 & twpc.1040: FP
1:409(408) ack 509 win 64800
& &0x 01c0
3d90 cbdd E....@@.t._.=...
& &0x0010: xxxx xxxx
6d9a 1e69 a8ed c098 .....P..m..i....
& &0x fd20 5d7f 0000
f31 2e31 P...]...HTTP/1.1
.200.OK..Content
74 6d6c -Type:.text/html
743d 32 ;.Charset=GB2312
& &0xa 436f 6e6e 6563
e 3a20 636c ..Connection:.cl
& &0x 650d 0a52 6566
a20 313b ose..Refresh:.1;
& &0x 524c 3d68 7474
703a 2f2f 626c 6f67 .URL=http://blog
& &0x 666f e
6e65 742f 0d0a 5072 .xfocus.net/..Pr
& &0x00a0:
2d63 d0a agma:.no-cache..
& &0x00b0: 2d 636f
6e74 726f 6c3a 2070 Cache-control:.p
& &0x00c0: 65 0d0a
0d0a 3c68 746d 6c3e
rivate....&html&
& &0x00d0: 3c68 c74
&head&&title&&/t
& &0x00e0:
itle&&!--..1..--
& &0x00f0: 3e3c 2f68 e
&&/head&&script.
& &0x 6e67
3d4a 74 language=JScript
& &0xc 212d 2d20 6675
6e63 e 206b
&&!--.function.k
& &0xc 6c45
65 7475 illErrors(){retu
6f77 rn.}.window
& &0xf 6e65
203d 206b 696c 6c45 .onerror.=.killE
& &0x 6f72 733b 202d
.--&&/scri
& &0x 3e3c d
pt&&frameset.row
& &0xd 222a 223e 3c66
s="*"&&frame.src
2f77 656c 636f 6d65 ="http://welcome
& &0x 682e 766e 6574
2e63 6e2f e ./add.
& &0x01a0:
htm".noresize&&/
& &0x01b0: 73 6574
3e3c 2f68 746d 6c3e
frameset&&/html&
11:11:14.656250 IP twpc.1040 & 61.144.203.221.80: .
ack 410 win 64392
xxxx xxxx E..(.A@...UH....
& &0x cbdd
a8ed c098 6d9a 2002 =......P....m...
& &0x fb88
& &P.......
11:11:14.656250 IP twpc.1040 & 61.144.203.221.80: F
509:509(0) ack 410 win 64392
xxxx xxxx E..(.D@...UE....
& &0x cbdd
a8ed c098 6d9a 2002 =......P....m...
& &0x fb88
& &P.......
11:11:14.671875 IP 61.144.203.221.80 & twpc.1040: .
ack 509 win 6432
&&-真正的xfocus发来的
3d90 cbdd E..(..@.7...=...
& &0x0010: xxxx xxxx
6d9a 1e69 a8ed c098 .....P..m..i....
& &P.......
11:11:14.671875 IP twpc.1040 & 61.144.203.221.80: .
ack 410 win 64392
xxxx xxxx E..(.E@...UD....
& &0x cbdd
a8ed c099 6d9a 2002 =......P....m...
& &0x fb88
& &P.......
11:11:14.703125 IP 61.144.203.221.80 & twpc.1040: R
:(0) win 0
3d90 cbdd E..(..@.7...=...
& &0x0010: xxxx xxxx
6d9a 00 .....P..m.......
& &P...x...
11:11:14.718750 IP 61.144.203.221.80 & twpc.1040: R
:(0) win 0
3d90 cbdd E..(..@.7...=...
& &0x0010: xxxx xxxx
6d9a 00 .....P..m.......
& &P...x...
11:11:14.718750 IP 61.144.203.221.80 & twpc.1040: R
:(0) win 0
3d90 cbdd E..(..@.7...=...
& &0x0010: xxxx xxxx
6d9a 00 .....P..m.......
& &P...x...
----------------------------------------------------------
&&&可以看出,tcp
3次握手是正常的,我标出的绿色的0x37(55)是真正的xfocus回给我的ttl
,估计xfocus开始ttl是64左右。但是当我GET过后,回来的就不是xfocus给我的了,而是那台劫持设备的了,看,它的ttl是0x74(116),而且,它的ip
id字段沿用我过去的包0x40,并且window也沿用我的64800,而且置位了Fin标志(造成我的机器收到后给真正的xfocus发了F)。从序列号来看,真正的xfocus在.671875才(又)回应,见那条亮蓝色的数据。最后3个R可能是由于我向xfocus发了2个ACK+1个F,而这3个包是由于那个劫持设备发过来的我才回应的,而xfocus那边判断tcp序列号不对,所以有3个R.
&电信要做这个劫持应该是很容易的事情,它离我比较近,收到我的GET后立刻返回给我广告页面,而真正的目的服务器离我很远,要等一会儿才会返回,这从我上面的时间戳就可以看出,况且电信用了F标志,我这里收到后会给真正的xfocus服务器发F标志从而中断链接。但我分析实际上在这个例子中真正起作用的是tcp序列号机制,因为伪造的包已经用掉了序列号,再收到重复的序列号会被我以及目的机器的系统或者防火墙给屏蔽。
网上有很多朋友问如何能够去除这个流氓,很遗憾,它总是要来绑架你的,我们可以做的只不过可以让它的广告页面不显示,把welcome.丢到浏览器的屏蔽列表或者防火墙的屏蔽列表里面去,或者在c:\windows\system32\drivers\etc\hosts文件中加入一行:
welcome.。普通的个人用户是没有办法除去这个流氓的,这个是属于电信部门广告推送的计划,而且这个是做在路由器节点上面的,从理论上讲,它有能力仿冒任意网站,比如它能够仿冒一些银行网站,它可以让你看到的是一个银行登录界面,但是数据全部是伪造的,这不是钓鱼,钓鱼是利用比较有迷惑性的相似的网站名称或者利用社会工程学来欺骗;这也不是伪造DNS记录来pharming,pharming是利用DNS服务器漏洞来伪造DNS记录来引导受害者;这个你是一点都不会感觉到差别的,如果它做得比较完美的话,本文所说的比如ttl,window等破绽都不会有的,这个对于控制着路由器的程序员来讲不是能不能做的问题,只是他想不想做的问题。
&前两天咨询了一个本市电信的工程师,他说这个可不是他们做的,他让我问北京去。倒。。。@#$@%#%*&)
这个岂不是要惊动中央首长了么! 我刚才traceroute了一下路径,if
这个劫持是安徽省的省级电信搞的话,那么它可能安装在202.97.18.154,当然前后2个路由器都有可疑,也可能从马鞍山走。
如何屏蔽电信强制广告
我的屏蔽办法:打开C/windows/system32/drivers/etc用笔记本打开Hosts,
在host文件下加上下面几行:
127.0.0.1 & welcome.
127.0.0.1 & *.
127.0.0.1 & & *.
127.0.0.1 & & *.vnet.net
-----------------------------------------------------------------
127.0.0.1 & & (网址以跳出的域名为准)
修改hosts文件,不但可以屏蔽插件和广告,其实也可以加快打开网页的速度。因为在浏览器进行DNS请求以前,Windows系统会先检查自己的本地硬盘上的hosts文件中是否有这个网址映射关系,如果有就不用请求DNS去解析这个网址了。那么我们将经常上的网站的IP地址在hosts文件中映射一下,以后再浏览该网站的时候,就可以不用请求DNS解析,从而加快了访问速度。
host文件位置:
&98和me系统下,hosts文件在Windows目录,在Windows
2000/XP系统中位于windosws/System32/Drivers/Etc目录中。Hosts文件没有后缀名,不过用记事本就能打开。右键单击hosts
文件,在“打开方式”中,选择用记事本打开。一般没有修改过的hosts文件,
针对windows调用hosts文件的机制,有些病毒会采取修改hosts文件来达到某些目的。因此要注意hosts文件的安全性。除了安装杀毒软件之外,在修改和保存hosts文件后,要给hosts文件加上只读属性,防止病毒修改。
右键单击hosts文件,选择“属性”,弹出属性窗口,在“只读”前面打上勾,按“确定”退出。
我一直都被它弄得很无奈。后来终于找到一条解决办法:我找到了这个页面的网址: http://welcome.
(注:我是安徽的,所在中间是ah,如果您是其它省市,可能会略有不同。) 把这个地址在IE的安全选项里设置为“受限制站点”
如果您装了防火墙,也可以把这个地址放入防火墙的“网站黑名单”
这样就可以啦!貌似电信又做了后继改进,它的原始IP为http://61.132.254.153,直接屏蔽该IP。
现在很多地方的电信都在你打开网页的时候,页面请求DNS解析那一步,给你解析出来一个广告页面(比如网通电信移动之类大站点的广告),明显的特征就是你使用任何浏览器(IE核心的或者FireFox、Opera都是一样),然后过几秒重定向到你访问的页面(或者使用内嵌广告框架的方式)。前者的话,访问论坛而且又使用cookies就比较麻烦了,这个时候会显示你没有登录,烦人之极。
我们知道了原因是由于DNS解析造成的,下面就好办了。进入控制面板的连接中,右键点击ADSL拨号连接的那个图标,选择属性。然后在“网络”那页找到“
协议(TCP/IP)”,选择属性。将“自动获得DNS服务器地址”改为“使用下面的DNS服务器地址”。
DNS服务器可以参考下表,也可以查看樱过去发布的DNS列表
樱的意见是加一个本地的DNS,再加一个国际化比较高的地区的DNS(如果经常浏览国外站点的话)
国内域名解析服务器DNS分布表
省 主服务器 辅服务器
北京DNS 202.106.196.115 202.106.0.20
上海DNS 202.96.199.133 202.96.0.133
天津DNS 202.99.96.68 10.10.64.68
广东DNS 202.96.128.68 202.96.128.110
河南DNS 202.102.227.68 202.102.245.12
广西DNS 202.96.128.68 202.103.224.68
福建DNS 202.101.98.54 202.101.98.55
湖南DNS 202.103.0.68 202.103.96.68
江苏DNS 202.102.15.162 202.102.29.3
陕西DNS 202.100.0.68 202.100.4.16
湖北DNS 202.103.0.68 10.54.2.136
山东DNS 202.102.154.3 202.102.152.3
浙江DNS 202.96.96.68 202.96.104.18
辽宁DNS 202.98.0.68 202.96.75.68
安徽DNS 202.102.192. 68 10.89.64.5
重庆DNS 61.128.128.68 61.128.128.67
黑龙江DNS 202.97.229. 133 202.97.224.68
河北DNS 202.99.160.68 10.17.128.90
吉林DNS 202.98.14.18 202.98.14.19
江西DNS 202.101.224.68 110.117.32.40
山西DNS 202.99.192.68 10.23.32.22
新疆DNS 61.128.97.74 61.128.97.73
贵州DNS 202.98.192.68 10.157.2.15
云南DNS 202.98.96.68 202.98.160.68
四川DNS 202.98.96.68 10.143.0.69
内蒙古DNS 202.99.224. 68 10.29.0.2
青海DNS 202.100.128.68 10.184.0.1
海南DNS 202.100.192.68 202.100.199.8
宁夏DNS 202.100.0.68 202.100.96.68
甘肃DNS 202.100.72.13 10.179.64.1
香港DNS 205.252.144.228 208.151.69.65
澳门DNS 202.175.3.8 202.175.3.3
杭州电信ADSL推放式广告:ADPortal广告行为再调查&
今日在访问
等网站的时候浏览器总是提出拦截了一个网页地址(本人电脑无流氓软件之类)
param后的乱码用base64解码 得到
provinceid=20&cityid=57101&classid=6463&username=hzhza&&&&&sourceurl=/
经过转向转到
查询后 发现 域名归属
Domain Name:
Registrant Organization: 深圳市零壹科技有限公司
Registrant Name: 谢洋
Administrative Email:
[email=*********@]*********@[/email]
此公司从事的是一个叫搜索实名的广告业务
搜索实名联合了新浪网、中华网、Tom网等国内知名门户网站,融入主流推广产品特点,优势资源整合。采用“搜索活链接”+“网站直达”的双核心、多线程创新推广模式。通过门户联合推广与搜索直达技术的有效结合,让您的企业信息展现在三大门户、六大搜索,更能让您的网站第一时间出现在潜在客户眼前。
据分析其手段和电信魔方类似 在你打开新浪等网站的同时 劫持域名 跳出其广告页面
现在似乎和杭州电信联手 在杭州地区访问特定网站的时候就会弹出他的广告
你可以试试看 关闭浏览器的弹出广告设置 访问sina看看会不会跳出来这个广告
这种手段 比流氓软件还要流氓 让用户难以防范
我们交了昂贵的上网费 还要被迫看你的广告?!!
中国电信:定向直投网站初露端倪! -“锁定受众,冲破屏障”
我是四川南充中国电信,下午无意中点击 出现名为“”的站点,
地址为 这个页面诡异的很,马上就消失,
还是我点击了浏览器的停止按钮才看到的,里面的内容为电信流氓大做广告,看了让人火大:"弹出,漂浮,通栏",一个个名词都是我们深恶痛绝的,公司流氓尚有清理软件,官方流氓该如何是好?
拦截方法:为你的防火墙设置规则,这里以天网防火墙为例!
打开天网防火墙,打开规则列表,点击增加规则按钮,输入名称和说明,数据包方向选择接受或发送,对方IP地址选择指定地址,输入IP:219.133.33.46,数据包协议类型选择TCP!打勾确定即可,接着点击保存规则按钮!
接下来拦截页面,打开我的电脑,控制面板-Internet选项,安全,受限制的站点,站点按钮,添加地址*这里不推荐IE的拦截功能,如果你有自己的游览器,如GoSurf,那么效果会很好,GoSurf游览器添加方法:工具,GoSurf选项,广告过滤,阻止名单,阻止页面,添加*
这里不建议使用host过滤,因为host过滤的话页面打开时指向自己的IP的话,那么可能遇到页面打不开的情况,那么和没有过滤的效果是一样的(防火墙已经过滤),反而会停留这一页面,需要用户手动关闭,反而不方便!
接着这一步就很重要了,别问原因,照做就行!
开始,运行,mmc
文件,添加/删除管理单元,添加,双击IP安全策略管理
选择计算机域,本地计算机,完成,关闭,确定。
返回控制台要节点,多了(IP安全策略,在本地计算机)
IP安全策略,在本地机器,右键,创建IP安全策略,下一步,输入描述,下一步,激活默认相应规则,下一步,默认响应规则身份验证方法:此字符串用来保护密钥交换(预共享密钥),任意键入一段字符串,下一步,完成。
双击创建好的新IP安全策略,添加,安全规则向导,下一步,隧道终结点:此规则不指定隧道,下一步,所有网络连接,下一步,身份验证方法:此字符串用来保护密钥交换(预共享密钥)描述:拦截电信,下一步,IP筛选器列表,添加,下一步,IP通信源:我的IP地址,下一步,目标地址:指定IP地址,输入IP:219.133.33.46,下一步,IP协议类型:任何,下一步,完成,选中新创建的筛选器,下一步,筛选器操作:需要安全,下一步,完成,确定,关闭。
返回控制台,新的IP安全策略,右键,指派!
大功告成!
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。自用电信语音王153++++++++6464_滦南吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0成为超级会员,使用一键签到本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
关注:233,679贴子:
自用电信语音王153++++++++6464收藏
亚马逊AWS-云创计划.最高可达10万元免费云资源!
尾号5288的号码谁要,没最低消费,六元月租
登录百度帐号推荐应用
为兴趣而生,贴吧更懂你。或
