[网络天地]谁在控制我们的浏览器?(转载)

楼主:koolzx 时间:2004-07-22 20:03:00 点击:774 回复:13
脱水 打赏 看楼主 设置

字体:

边距:

背景:

还原:

http://bbs.nsfocus.net/index.php?act=ST&f=10&t=163667
  
  不知道真假,希望有人能确认.
  作者:2f4f587a80c2dbbd870a46481b2b1882
  日期:2004.7.20
  
  
  0、版权
  
  本文遵从GPL协议,欢迎转载。
  
  
  1、现象是什么?
  
  大约从今年年初开始,很多人就发现,在浏览一些网站的时候,地址栏的url后面会被莫名其妙地加上“?curtime=xxxxxxxxxx”(x为数字),并且弹出广告窗口。很多人以为这是网站自己弹出的广告,也就没有在意。
  
  我是属于很在意的那些人之一。
  
  
  2、这是怎么回事?
  
  经过测试和分析,我们发现,上述现象与使用何种浏览器无关(我们测试了各种流行的http客户端),与使用何种操作系统也无关(linux用户也有相关报告)。我对出现该现象的IE浏览器进程进行了跟踪调试,没有发现任何异常。可以断定,并不是系统被安装 了adware或者spyware。
  
  那么是不是那些网站自己做的呢?后来发现,访问我们自己管理的网站时也出现了这种情况,排除了这个可能。
  
  那么剩下唯一的可能就是:有人在某个或某几个关键网络节点上安装了inject设备,劫持了我们的HTTP会话——我实在是不愿相信这个答案,这个无耻、龌龊的答案。
  
  伟大的谢洛克·福尔摩斯说过:当其他可能都被排除之后,剩下的,即使再怎么不可思议,也一定是答案。
  
  为了验证这个想法,我选择了一个曾经出现过上述现象的网站附近网段的某个IP。直接访问这个IP的HTTP服务,正常情况下是没有页面的,应该返回404错误。我写了一个脚本,不断访问这个IP,同时记录进出的数据包。在访问进行了120次的时候,结束请 求,查看数据。120次请求中,118次返回的都是正常的404错误:
  
  HTTP/1.1 404 Object Not Found
  Server: Microsoft-IIS/5.0
  Date: Mon, 19 Jul 2004 12:57:37 GMT
  Connection: close
  Content-Type: text/html
  Content-Length: 111
  
  <html><head><title>Site Not Found</title></head>
  <body>No web site is configured at this address.</body></html>
  
  但是有两次,返回了这个:
  
  HTTP/1.1 200 OK
  Content-type: text/html
  
  <html>
  <meta http-equiv=’Pragma’ content=’no-cache’>
  <meta http-equiv=’Refresh’ content=’0;URL=?curtime=1091231851’>
  <script>
  window.open(’http://211.147.5.121/DXT06-005.htm’, ’’, ’width=400,height=330’);
  </script>
  <head>
  <title></title>
  </head>
  <body>
  </body>
  </html>
  
  更进一步分析数据包,可知劫持流程如下:
  A、在某个骨干路由器的边上,躺着一台旁路的设备,监听所有流过的HTTP会话。这个设备按照某种规律,对于某些HTTP请求进行特殊处理。
  
  B、当一个不幸的HTTP请求流过,这个设备根据该请求的seq和ack,把早已准备好的数据作为回应包,发送给客户端。这个过程是非常快的,我们的HTTP请求发出之后,仅过了0.008秒,就收到了上面的回应。而任何正常的服务器都不可能在这么短的时 间内做出回应。
  
  C、因为seq和ack已经被伪造的回应用掉了,所以,真正的服务器端数据过来的时候,会被当作错误的报文而不被接受。
  
  D、浏览器会根据<meta http-equiv=’Refresh’ content=’0;URL=?curtime=1091231851’>这一行,重新对你要访问的URL进行请求,这一次,得到了请求的真正页面,并且调用window.open函数打开广告窗口。
  
  在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索,出现的基本上是国内网站,这表明,问题出在国内。用于inject的设备插在国内的某个或某几个大节点上。
  
  真相大白。我们被愚弄了,全中国的网民都成了某些人的赚钱工具。
  
  
  3、现在怎么办?
  
  在坏家伙被捉出来之前,我们要想不受这个玩意的骚扰,可以考虑下面的方法:
  
  A、请各单位的网络管理员,在网络的边界设备上,完全封锁211.147.5.121。
  B、在你自己的个人防火墙上,完全封锁211.147.5.121。
  C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE,可以把“http://211.147.5.121/*”丢到弹出窗口过滤列表中去。
  
  绝不只是广告那么简单,这涉及到我们的选择,我们的自由,这比垃圾邮件更加肮脏和无耻。今天是广告,明天就可能在你下载软件的时候给你加个adware或者加个病毒进去,谁知道呢?我们的HTTP通信完全控制在别人手里。
  
  
  4、如何把坏家伙揪出来?
  
  如果你是一个有权力调查和处理这件事的人,从技术上,可以考虑下面的手段:
  
  方法1、
  
  伪造的回应数据中并没有处理TTL,也就是说,我们得到的回应数据中TTL是和inject设备位置相关的。以我收到的数据包为例,真实的服务器端回应TTL是107,伪造的回应TTL是53。那么,从我们这里到被请求的服务器之间经过了21(128-107)个节点,从我们这里到inject设备经过了11(64-53)个节点。只需要traceroute一下请求的服务器,得到路由回溯,往外数第11个节点就是安插inject设备的地方!
  
  方法2:
  
  假如坏家伙也看到了这篇文章,修改了TTL,我们仍然有办法。在google上以下面这些关键字搜索:
  php?curtime
  htm?curtime
  asp?curtime
  可以得到大量访问时会被inject的网址。编写脚本反复访问这些网址,验证从你的ip访问过去是否会被inject。将确实会被inject的结果搜集起来,在不同的网络接入点上挨个用traceroute工具进行路由回溯。分析回溯的结果。
  
  上面我们已经说明了,坏家伙是在某个或者某些重要节点上安插了inject设备,那么这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。例如有A、B、C、D四个被inject到的网站,从四个地方进行路由回溯的结果如下:
  
  MyIP-12-13-14-15-65-[89]-15-57-A
  MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
  MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
  MyIP-22-25-29-32-65-45-[89]-58-D
  
  显然,inject设备极大可能就在“89”所在的机房。
  
  方法3:
  
  另一方面,可以从存放广告业面的211.147.5.121这个IP入手,whois查询结果如下:
  
  inetnum: 211.147.0.0 - 211.147.7.255
  netname: DYNEGY-COMMUNICATION
  descr: DYNEGY-COMMUNICATION
  descr: CO.LTD
  descr: BEIJING
  country: CN
  admin-c: PP40-AP
  tech-c: SD76-AP
  mnt-by: MAINT-CNNIC-AP
  changed: hui_zh@sina.com 20011112
  status: ALLOCATED PORTABLE
  source: APNIC
  
  person: Pang Patrick
  nic-hdl: PP40-AP
  e-mail: bill.pang@bj.datadragon.net
  address: Fl./8, South Building, Bridge Mansion, No. 53
  phone: +86-10-63181513
  fax-no: +86-10-63181597
  country: CN
  changed: ipas@cnnic.net.cn 20030304
  mnt-by: MAINT-CNNIC-AP
  source: APNIC
  
  person: ShouLan Du
  address: Fl./8, South Building, Bridge Mansion, No. 53
  country: CN
  phone: +86-010-83160000
  fax-no: +86-010-83155528
  e-mail: dsl327@btamail.net.cn
  nic-hdl: SD76-AP
  mnt-by: MAINT-CNNIC-AP
  changed: dsl327@btamail.net.cn 20020403
  source: APNIC
  
  
  5、我为什么要写这篇文章?
  
  新浪为我提供桃色新闻,我顺便看看新浪的广告,这是天经地义的;或者我安装某某网站的广告条,某某网站付给我钱,这也是天经地义的。可是这个211.147.5.121既不给我提供桃色新闻,又不给钱,却强迫我看广告,这就严重伤害了我脆弱而幼小的心灵。 事实上,你可以敲诈克林斯·潘,强奸克里奥·佩德拉,咬死王阳明,挖成吉思汗墓,我都不会计较,但是现在你既然打搅了我的生活,我就不得不说几句了。
  
  
  6、我是谁?
  
  如果你知道MyName,又知道MyCount的话,那么,用下面这段perl可以得到:2f4f587a80c2dbbd870a46481b2b1882。
  
  #!/usr/bin/perl -w
  
  use Digest::MD5 qw(md5 md5_hex md5_base64);
  
  $name = ’MyName’;
  $count = MyCount;
  
  for ($i=0; $i<$count; $i++)
  {
  $name = md5_hex($name);
  }
  
  print $name;
  
  以下签名,用于以后可能出现的关于此文的交流:
  1 6631876c2aea042934a5c4aaeabb88e9
  2 a6a607b3bcff63980164d793ff61d170
  3 6a58e8148eb75ce9c592236ef66a3448
  4 ded96d29f7b49d0dd3f9d17187356310
  5 cc603145bb5901a0ec8ec815d83eea66

打赏

0 点赞

主帖获得的天涯分:0
举报 | | 楼主 | 埋红包
楼主发言:1次 发图:0张 | 添加到话题 |
作者:19991919 时间:2004-07-22 20:08:04
  今天访问大多数国外网址和国内网站都打不开,不知道怎么回事、、、
作者:19991919 时间:2004-07-22 20:16:31
  不知道是不是DNS服务器的问题还是什么、、、但是访问天涯绝对没问题、、、不知道是否和网上严打有关呢、、、
作者:大小马虎 时间:2004-07-22 20:24:57
  现在网上严打 太太太没人道了~
  俺两个收费空间!
  所在的服务器全被上海网络监察大队 干走~
  说是搬走拿去审查。。。。。。。。
  据说是有家伙在自己的空间里上传毛片!
  
  怒!
  服务商也没办法!
作者:a_bo_hf 时间:2004-07-23 13:17:29
  读完楼主的帖子,我的心情竟是久久不能平复,正如老子所云:大音希声,大象希形。我现在终于明白我缺乏的是什么了,正是楼主那种对真理的执着追求和楼主那种对理想的艰苦实践所产生的厚重感。面对楼主的帖子,我震惊得几乎不能动弹了,楼主那种裂纸欲出的大手笔,竟使我忍不住一次次的翻开楼主的帖子,每看一次,赞赏之情就激长数分,我总在想,是否有神灵活在它灵秀的外表下,以至能使人三月不知肉味,使人有余音穿梁,三日不绝的感受。楼主,你写得实在是太好了。我唯一能做的,就只有把这个帖子顶上去这件事了。楼主的帖子实在是写得太好了。文笔流畅,修辞得体,深得魏晋诸朝遗风,更将唐风宋骨发扬得入木三分,能在有生之年看见楼主的这个帖子。实在是我三生之幸啊。看完楼主的这个帖子之后,我竟感发生出一种无以名之的悲痛感――啊,这么好的帖子,如果将来我再也看不到了,那我该怎么办?那我该怎么办?直到我毫不犹豫的把楼主的这个帖子收藏了。我内心的那种激动才逐渐平复下来。可是我立刻想到,这么好的帖子,倘若别人看不到,那么不是浪费楼主的心血吗?经过痛苦的思想斗争,我终于下定决心,我要把这个帖子一直往上顶,往上顶!顶到所有人都看到为止遇到你之前,我对人世间是否有真正的圣人是怀疑的;而现在,我终于相信了!我曾经忘情于汉廷的歌赋,我曾经惊讶于李杜的诗才,我曾经流连于宋元的词曲;但现在,我才知道我有多么浅薄!楼主你的高尚情操太让人感动了。在现在这样一个物欲横流的金钱社会里,竟然还能见到楼主这样的性情中人,无疑是我这辈子最大的幸运。让我深深感受到了人性的伟大。楼主的帖子,就好比黑暗中刺裂夜空的闪电,又好比撕开乌云的阳光,一瞬间就让我如饮甘露,让我明白了永恒的真理在这个世界上是真实存在着的。只有楼主这样具备广阔胸怀和完整知识体系的人,才能作为这真理的唯一引言者。看了楼主的帖子,让我陷入了严肃的思考中,我认为,如果不把楼主的帖子顶上去,就是对真理的一种背叛,就是对谬论的极大妥协。因此,我决定义无返顾的顶了说的好啊!我在这个论坛打滚这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在论坛里灌水的那帮小混蛋有着本质的差别,那忧郁的语调,那熟悉的签名,还有字里行间高屋建瓴的辞藻。没用的,楼主,就算你怎么换马甲都是没有用的,你的亿万拥戴者早已经把你认出来了,你一定就是传说中的最强ID。自从论坛改版之后,我就已经心灰意冷,对论坛也没抱什么希望了,传说已经幻灭,神话已经终结,留在论坛还有什么意思。没想到,没想到,今天可以再睹楼主的风范,我激动得忍不住就在屏幕前流下了眼泪。是啊,只要在楼主的带领下,论坛就有希望了。我的内心再一次沸腾了,我胸腔里的血再一次燃烧了。楼主的几句话虽然简单,却概括扼要,一语道出了我们苦想多年的而不可得答案的几个重大问题的根本。楼主就好比论坛的明灯,楼主就好比论坛的方向,楼主就好比论坛的栋梁。有楼主在,论坛的明天必将更好!大师的话真如“大音希声扫阴翳”,犹如”拨开云雾见青天”,使我等网民看到了希望,看到了未来!晴天霹雳,醍醐灌顶或许不足以形容大师文章的万一;巫山行云,长江流水更难以比拟大师的文才!黄钟大吕,振聋发聩!你烛照天下,明见万里;雨露苍生,泽被万方!透过你深邃的文字,我仿佛看到了你鹰视狼顾,龙行虎步的伟岸英姿;仿佛看到了你手执如椽大笔,写天下文章的智慧神态;仿佛看见了你按剑四顾,江山无数的英武气概
  
作者:大小马虎 时间:2004-07-23 13:16:17
  我!!!!!!!!!!!!!
  靠!!!!!!!!!!!!!!!!!
  
作者:a_bo_hf 时间:2004-07-23 13:45:24
  大小马虎,你靠什么?
作者:大小马虎 时间:2004-07-23 13:44:04
  哈哈 靠你的一大串字啊
作者:a_bo_hf 时间:2004-07-23 13:47:19
  哈哈~~
  
  俺那是转滴噢~~
作者:我不喜欢拉面 时间:2004-07-23 14:09:17
  转载请注明转载
  
  ——转载
作者:a_bo_hf 时间:2004-07-23 14:44:30
  转载请注明转载
    
    ——转载
  
  转载
作者:deyojn 时间:2004-07-23 21:32:01
  zxdgsgsegsegse
作者:Blueflux 时间:2004-07-24 10:24:33
  顶!~~
作者:道义思维 时间:2010-02-22 01:52:54
  我们的电脑现在就是这样,有时还用不了。不过我们没有你那样的技术,这应该属于什么社会问题呢?

相关推荐

换一换

      本版热帖

        发表回复

        请遵守天涯社区公约言论规则,不得违反国家法律法规