谁控制了我们的浏览器?
http://www.baidu.com/link?url=4Qw_a5JHvJi8NPp7of9HqRWN93EPxC2Vy9CPxm3e-KgcO443jRRS_1jzcWDAF8qf5oPPwipv0D6BRQf5XMNi1a
本文遵從GPL協(xié)議,歡迎轉(zhuǎn)載。
1、現(xiàn)象是什么?
大約從今年年初開始,很多人就發(fā)現(xiàn),在瀏覽一些網(wǎng)站的時(shí)候,地址欄的url后面會(huì)被莫名其妙地加上“?curtime=xxxxxxxxxx”(x為數(shù)字),并且彈出廣告窗口。很多人以為這是網(wǎng)站自己彈出的廣告,也就沒有在意。
我是屬于很在意的那些人之一。
2、這是怎么回事?
經(jīng)過測(cè)試和分析,我們發(fā)現(xiàn),上述現(xiàn)象與使用何種瀏覽器無關(guān)(我們測(cè)試了各種流行的http客戶端),與使用何種操作系統(tǒng)也無關(guān)(linux用戶也有相關(guān)報(bào)告)。我對(duì)出現(xiàn)該現(xiàn)象的IE瀏覽器進(jìn)程進(jìn)行了跟蹤調(diào)試,沒有發(fā)現(xiàn)任何異常。可以斷定,并不是系統(tǒng)被安裝了adware或者spyware。
那么是不是那些網(wǎng)站自己做的呢?后來發(fā)現(xiàn),訪問我們自己管理的網(wǎng)站時(shí)也出現(xiàn)了這種情況,排除了這個(gè)可能。
那么剩下唯一的可能就是:有人在某個(gè)或某幾個(gè)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)上安裝了inject設(shè)備,劫持了我們的HTTP會(huì)話——我實(shí)在是不愿相信這個(gè)答案,這個(gè)無恥、齷齪的答案。
偉大的謝洛克·福爾摩斯說過:當(dāng)其他可能都被排除之后,剩下的,即使再怎么不可思議,也一定是答案。
為了驗(yàn)證這個(gè)想法,我選擇了一個(gè)曾經(jīng)出現(xiàn)過上述現(xiàn)象的網(wǎng)站附近網(wǎng)段的某個(gè)IP。直接訪問這個(gè)IP的HTTP服務(wù),正常情況下是沒有頁面的,應(yīng)該返回404錯(cuò)誤。我寫了一個(gè)腳本,不斷訪問這個(gè)IP,同時(shí)記錄進(jìn)出的數(shù)據(jù)包。在訪問進(jìn)行了120次的時(shí)候,結(jié)束請(qǐng)求,查看數(shù)據(jù)。120次請(qǐng)求中,118次返回的都是正常的404錯(cuò)誤:
HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Mon, 19 Jul 2004 12:57:37 GMT
Connection: close
Content-Type: text/html
Content-Length: 111
〈html〉〈head〉〈title〉Site Not Found〈/title〉〈/head〉
〈body〉No web site is configured at this address.〈/body〉〈/html〉
但是有兩次,返回了這個(gè):
HTTP/1.1 200 OK
Content-type: text/html
〈html〉
〈meta http-equiv='Pragma' content='no-cache'〉
〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉
〈script〉
window.open('http://211.147.5.121/DXT06-005.htm', '', 'width=400,height=330');
〈/script〉
〈head〉
〈title〉〈/title〉
〈/head〉
〈body〉
〈/body〉
〈/html〉
更進(jìn)一步分析數(shù)據(jù)包,可知劫持流程如下:
A、在某個(gè)骨干路由器的邊上,躺著一臺(tái)旁路的設(shè)備,監(jiān)聽所有流過的HTTP會(huì)話。這個(gè)設(shè)備按照某種規(guī)律,對(duì)于某些HTTP請(qǐng)求進(jìn)行特殊處理。
B、當(dāng)一個(gè)不幸的HTTP請(qǐng)求流過,這個(gè)設(shè)備根據(jù)該請(qǐng)求的seq和ack,把早已準(zhǔn)備好的數(shù)據(jù)作為回應(yīng)包,發(fā)送給客戶端。這個(gè)過程是非常快的,我們的HTTP請(qǐng)求發(fā)出之后,僅過了0.008秒,就收到了上面的回應(yīng)。而任何正常的服務(wù)器都不可能在這么短的時(shí)間內(nèi)做出回應(yīng)。
C、因?yàn)閟eq和ack已經(jīng)被偽造的回應(yīng)用掉了,所以,真正的服務(wù)器端數(shù)據(jù)過來的時(shí)候,會(huì)被當(dāng)作錯(cuò)誤的報(bào)文而不被接受。
D、瀏覽器會(huì)根據(jù)〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉這一行,重新對(duì)你要訪問的URL進(jìn)行請(qǐng)求,這一次,得到了請(qǐng)求的真正頁面,并且調(diào)用window.open函數(shù)打開廣告窗口。
在google中以“php?curtime”、“htm?curtime”、“asp?curtime”為關(guān)鍵字搜索,出現(xiàn)的基本上是國(guó)內(nèi)網(wǎng)站,這表明,問題出在國(guó)內(nèi)。用于inject的設(shè)備插在國(guó)內(nèi)的某個(gè)或某幾個(gè)大節(jié)點(diǎn)上。
真相大白。我們被愚弄了,全中國(guó)的網(wǎng)民都成了某些人的賺錢工具。
3、現(xiàn)在怎么辦?
在壞家伙被捉出來之前,我們要想不受這個(gè)玩意的騷擾,可以考慮下面的方法:
A、請(qǐng)各單位的網(wǎng)絡(luò)管理員,在網(wǎng)絡(luò)的邊界設(shè)備上,完全封鎖211.147.5.121。
B、在你自己的個(gè)人防火墻上,完全封鎖211.147.5.121。
C、如果你的瀏覽器是FireFox、Opera、GreenBrowser、或者M(jìn)yIE,可以把“http://211.147.5.121/*”丟到彈出窗口過濾列表中去。
絕不只是廣告那么簡(jiǎn)單,這涉及到我們的選擇,我們的自由,這比垃圾郵件更加骯臟和無恥。今天是廣告,明天就可能在你下載軟件的時(shí)候給你加個(gè)adware或者加個(gè)病毒進(jìn)去,誰知道呢?我們的HTTP通信完全控制在別人手里。
4、如何把壞家伙揪出來?
如果你是一個(gè)有權(quán)力調(diào)查和處理這件事的人,從技術(shù)上,可以考慮下面的手段:
方法1、
偽造的回應(yīng)數(shù)據(jù)中并沒有處理TTL,也就是說,我們得到的回應(yīng)數(shù)據(jù)中TTL是和inject設(shè)備位置相關(guān)的。以我收到的數(shù)據(jù)包為例,真實(shí)的服務(wù)器端回應(yīng)TTL是107,偽造的回應(yīng)TTL是53。那么,從我們這里到被請(qǐng)求的服務(wù)器之間經(jīng)過了21(128-107)個(gè)節(jié)點(diǎn),從我們這里到inject設(shè)備經(jīng)過了11(64-53)個(gè)節(jié)點(diǎn)。只需要traceroute一下請(qǐng)求的服務(wù)器,得到路由回溯,往外數(shù)第11個(gè)節(jié)點(diǎn)就是安插inject設(shè)備的地方!
方法2:
假如壞家伙也看到了這篇文章,修改了TTL,我們?nèi)匀挥修k法。在google上以下面這些關(guān)鍵字搜索:php?curtime,htm?curtime,asp?curtime,可以得到大量訪問時(shí)會(huì)被inject的網(wǎng)址。編寫腳本反復(fù)訪問這些網(wǎng)址,驗(yàn)證從你的ip訪問過去是否會(huì)被inject。將確實(shí)會(huì)被inject的結(jié)果搜集起來,在不同的網(wǎng)絡(luò)接入點(diǎn)上挨個(gè)用traceroute工具進(jìn)行路由回溯。分析回溯的結(jié)果。
上面我們已經(jīng)說明了,壞家伙是在某個(gè)或者某些重要節(jié)點(diǎn)上安插了inject設(shè)備,那么這個(gè)節(jié)點(diǎn)必然在被inject的那些網(wǎng)址到我們的IP之間的某個(gè)位置上。例如有A、B、C、D四個(gè)被inject到的網(wǎng)站,從四個(gè)地方進(jìn)行路由回溯的結(jié)果如下:
MyIP-12-13-14-15-65-[89]-15-57-A
MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
MyIP-22-25-29-32-65-45-[89]-58-D
顯然,inject設(shè)備極大可能就在“89”所在的機(jī)房。
方法3:
另一方面,可以從存放廣告業(yè)面的211.147.5.121這個(gè)IP入手,whois查詢結(jié)果如下:
inetnum: 211.147.0.0 - 211.147.7.255
netname: DYNEGY-COMMUNICATION
descr: DYNEGY-COMMUNICATION
descr: CO.LTD
descr: BEIJING
country: CN
admin-c: PP40-AP
tech-c: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed:?hui_zh@sina.com?20011112
status: ALLOCATED PORTABLE
source: APNIC
person: Pang Patrick
nic-hdl: PP40-AP
e-mail:?bill.pang@bj.datadragon.net
address: Fl./8, South Building, Bridge Mansion, No. 53
phone: +86-10-63181513
fax-no: +86-10-63181597
country: CN
changed:?ipas@cnnic.net.cn?20030304
mnt-by: MAINT-CNNIC-AP
source: APNIC
person: ShouLan Du
address: Fl./8, South Building, Bridge Mansion, No. 53
country: CN
phone: +86-010-83160000
fax-no: +86-010-83155528
e-mail:?dsl327@btamail.net.cn
nic-hdl: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed:?dsl327@btamail.net.cn?20020403
source: APNIC
5、我為什么要寫這篇文章?
新浪為我提供桃色新聞,我順便看看新浪的廣告,這是天經(jīng)地義的;或者我安裝某某網(wǎng)站的廣告條,某某網(wǎng)站付給我錢,這也是天經(jīng)地義的。可是這個(gè)211.147.5.121既不給我提供桃色新聞,又不給錢,卻強(qiáng)迫我看廣告,這就嚴(yán)重傷害了我脆弱而幼小的心靈。事實(shí)上,你可以敲詐克林斯·潘,強(qiáng)奸克里奧·佩德拉,咬死王陽明,挖成吉思汗墓,我都不會(huì)計(jì)較,但是現(xiàn)在你既然打攪了我的生活,我就不得不說幾句了。
6、我是誰?
如果你知道MyName,又知道MyCount的話,那么,用下面這段perl可以得到:2f4f587a80c2dbbd870a46481b2b1882。
#!/usr/bin/perl -w
use Digest::MD5 qw(md5 md5_hex md5_base64);
$name = 'MyName';
$count = MyCount;
for ($i=0; $i〈$count; $i++)
{
$name = md5_hex($name);
}
print $name;
以下簽名,用于以后可能出現(xiàn)的關(guān)于此文的交流:
1 6631876c2aea042934a5c4aaeabb88e9
2 a6a607b3bcff63980164d793ff61d170
3 6a58e8148eb75ce9c592236ef66a3448
4 ded96d29f7b49d0dd3f9d17187356310
5 cc603145bb5901a0ec8ec815d83eea66
注:本文為轉(zhuǎn)載,作者不詳,發(fā)布日期為:2004.7.20。
轉(zhuǎn)載于:https://www.cnblogs.com/pengzheng/p/3826670.html
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)總結(jié)
以上是生活随笔為你收集整理的谁控制了我们的浏览器?的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 简单的豆瓣电影推荐系统demo
- 下一篇: HTML入门学习 -- HTML基础知识