V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wecan
V2EX  ›  宽带症候群

怎么向移动证明自己受到了 http 劫持?

  •  
  •   wecan · 2015-01-16 22:42:06 +08:00 · 19177 次点击
    这是一个创建于 3629 天前的主题,其中的信息可能已经有所发展或是发生改变。

    装了移动的宽带,发现劫持实在太严重了。而且有时候打开网站居然卡在推广链接上,觉得实在有必要较真一下。

    向本地移动反映问题,由于身处三线城市,他们好像根本不了解情况。经过反复投诉并表明要到工信部投诉后,刚刚有个负责人和我联系,让我把被劫持时的httpWatch信息发给他。由于我对这些不了解,想请教大家,我具体应该发什么样的信息给他?或者说,有了httpWatch的结果,要如何才能证明自己确实遭到了http劫持呢(除了表面上看到的URL发生变化或经过跳转)?谢谢!

    如果我的问题太宽泛,需要学习什么资料的话,也麻烦大家推荐一下!主要是以前完全没学过这方面的东西,现在一头雾水,想查资料也不知道从哪里开始查起。

    28 条回复    2015-01-19 09:21:52 +08:00
    ryd994
        1
    ryd994  
       2015-01-16 22:57:04 +08:00   ❤️ 1
    tcpdump抓包,然后让这帮家伙自己慢慢研究谁干的去
    RanchoH
        2
    RanchoH  
       2015-01-16 22:59:59 +08:00   ❤️ 2
    移动宽带就是一个大局域网.
    移动宽带的话投诉工信部也不会管的, 很多人都试过了.
    去年投诉过一次, 工信部回复说管不着, 不能接受可协商退款.
    解决移动宽带劫持只要用非 53 标准端口的 DNS 就好, 比如 OpenDNS 的 ' 208.67.222.222#5353 '.
    wecan
        3
    wecan  
    OP
       2015-01-16 23:01:18 +08:00
    @ryd994 谢谢!这是我刚刚抓到的一个包(不知道这个说法对吗)?就是httpWatch返回给我的东西。

    那个http://www.baidu.com/?tn=SE_hldp04310_pzs7zsrj就是我在地址栏中看到的。

    大神能否帮我指点一二?下面这些是不是就是我该发给那个负责人的?其中有没有什么被劫持的线索?

    Started Page Title Warnings Comment Flag Time Sent Received Method Result Type URL
    百度一下,你就知道 ! 0.146 4135 3203
    55:39.0 ! 0.077 349 376 GET 200 gif http://b1.bdstatic.com/img/pc.gif?_t=443
    55:39.0 ! 0.144 363 859 GET 200 gif http://ecma.bdimg.com/public03/pc.gif?_t=1421420138986
    55:39.0 ! 0.072 570 328 GET 200 gif http://i7.baidu.com/ps_default.gif?_t=1421420138988
    55:39.0 ! 0.076 570 328 GET 200 gif http://i8.baidu.com/ps_default.gif?_t=1421420138990
    55:39.0 ! 0.072 570 328 GET 200 gif http://i9.baidu.com/ps_default.gif?_t=1421420138991
    55:39.0 ! 0.073 571 328 GET 200 gif http://t10.baidu.com/ps_default.gif?_t=1421420138993
    55:39.0 ! 0.07 571 328 GET 200 gif http://t11.baidu.com/ps_default.gif?_t=1421420138995
    55:39.0 ! 0.071 571 328 GET 200 gif http://t12.baidu.com/ps_default.gif?_t=1421420138997
    百度一下,你就知道 ! 0.63 6260 45662
    55:39.0 0.136 525 142 GET 302 Redirect to http://www.baidu.com/?tn=SE_hldp04310_pzs7zsrj http://www.baidu.com/
    55:39.2 ! 0.161 550 41154 GET 200 html http://www.baidu.com/?tn=SE_hldp04310_pzs7zsrj
    55:39.3 0.073 709 208 GET 304 png http://www.baidu.com/img/bd_logo1.png
    55:39.3 0.069 714 207 GET 304 gif http://www.baidu.com/img/baidu_jgylogo3.gif
    55:39.3 0.068 483 410 GET 304 javascript http://s1.bdstatic.com/r/www/cache/static/jquery/jquery-1.10.2.min_f2fb5194.js
    55:39.4 0.068 492 338 GET 304 png http://s1.bdstatic.com/r/www/cache/static/global/img/icons_3bfb8e45.png
    55:39.4 0.061 488 408 GET 304 javascript http://s1.bdstatic.com/r/www/cache/static/global/js/all_instant_search1_d19c5eb5.js
    55:39.5 ! 0.066 625 1702 GET 200 javascript http://passport.baidu.com/passApi/js/uni_login_wrapper.js?cdnversion=1421420139510&_=1421420139422
    55:39.5 0.076 483 407 GET 304 javascript http://s1.bdstatic.com/r/www/cache/static/home/js/nu_instant_search_1d4b7707.js
    55:39.5 0.07 482 407 GET 304 javascript http://s1.bdstatic.com/r/www/cache/static/sug/js/bdsug_input_event_77f78c86.js
    55:39.6 ! 0.066 709 279 GET 200 javascript http://suggestion.baidu.com/su?wd=&json=1&p=3&sid=10930_1465_10772_10489_10873_11110_11067_10922_11101_11150_10617&req=2&cb=jQuery1102031921054216613076_1421420139423&_=1421420139424
    abcbit
        4
    abcbit  
       2015-01-16 23:01:43 +08:00   ❤️ 1
    @RanchoH 你那只能解決移動的內網dns劫持,對於tcp劫持根本無用
    wecan
        5
    wecan  
    OP
       2015-01-16 23:07:01 +08:00
    小弟有一问,在刚刚我贴出的httpWatch信息里面看到这一行:

    55:39.0 0.136 525 142 GET 302 Redirect to http://www.baidu.com/?tn=SE_hldp04310_pzs7zsrj http://www.baidu.com/

    为什么会重定向(Redirect to)到这个带尾巴的URL呢?这时候我要怎么知道是具体劫持了比如哪个图片的URL之类的,才导致了这个重定向的发生呢?谢谢!如果有理解错的地方,请大家多多指正。
    wecan
        6
    wecan  
    OP
       2015-01-16 23:10:35 +08:00
    对比没有被劫持的时候,httpWatch抓到的是这样的(比被劫持时少了一些东西):

    Started Page Title Warnings Comment Flag Time Sent Received Method Result Type URL
    百度一下,你就知道 ! 0.641 1808 26405
    07:39.2 ! 0.403 525 24425 GET 200 html http://www.baidu.com/
    07:39.6 0.001 0 0 GET (Cache) javascript http://s1.bdstatic.com/r/www/cache/static/jquery/jquery-1.10.2.min_f2fb5194.js
    07:39.6 0.001 0 0 GET (Cache) javascript http://s1.bdstatic.com/r/www/cache/static/global/js/all_instant_search1_d19c5eb5.js
    07:39.6 ! 0.2 600 1702 GET 200 javascript http://passport.baidu.com/passApi/js/uni_login_wrapper.js?cdnversion=1421420859604&_=1421420859586
    07:39.6 0.001 0 0 GET (Cache) javascript http://s1.bdstatic.com/r/www/cache/static/home/js/nu_instant_search_1d4b7707.js
    07:39.6 0 0 0 GET (Cache) javascript http://s1.bdstatic.com/r/www/cache/static/sug/js/bdsug_input_event_77f78c86.js
    07:39.6 ! 0.061 683 278 GET 200 javascript http://suggestion.baidu.com/su?wd=&json=1&p=3&sid=10930_1465_10772_10489_10873_11110_11067_10922_11101_11150_10617&req=2&cb=jQuery110208990308774612343_1421420859587&_=1421420859588
    07:39.6 0.001 0 0 GET (Cache) png http://s1.bdstatic.com/r/www/cache/static/global/img/icons_3bfb8e45.png
    ChangeTheWorld
        7
    ChangeTheWorld  
       2015-01-16 23:22:02 +08:00   ❤️ 1
    明确的告诉你,DNS厂家干的,除非造成严重影响,要么很难解决,建议使用香港运营商的DNS解析出来的基本无劫持,不过影响某些网站的CDN
    bombless
        8
    bombless  
       2015-01-16 23:32:18 +08:00
    直接向工信部投诉吧,省点事
    wecan
        9
    wecan  
    OP
       2015-01-16 23:32:52 +08:00 via Android
    @ChangeTheWorld 谢谢,可我换过DNS问题依然存在,是不是应该用非53端口的DNS才行?
    Geass
        10
    Geass  
       2015-01-16 23:43:08 +08:00
    电信不用证明,投诉一下就帮你关掉了。
    Quaintjade
        11
    Quaintjade  
       2015-01-16 23:51:28 +08:00   ❤️ 1
    @ChangeTheWorld
    DNS劫持早就过时了,现在已经进入TCP劫持时代,修改DNS根本没用。
    全程HTTPS才是解决方案。(必须全程,因为只要有HTTP内容,就有机会把你跳转掉)
    kacong
        12
    kacong  
       2015-01-17 00:02:46 +08:00
    前面不是还有人说, 某地会插入一些js,把你的https修改为http,直接奇葩了。
    hjc4869
        13
    hjc4869  
       2015-01-17 00:09:06 +08:00 via iPhone
    @kacong 如果最开始输入在地址栏中的就是https且网站无配置问题,那么是没有机会变成http的。
    lemonda
        14
    lemonda  
       2015-01-17 00:23:35 +08:00
    我把整个劫持过程录像外加和其它宽带对比发给他们都没用,投诉到工信部也没回应。
    现在我改为投诉到百度、淘宝、苏宁,投诉的多了总有用吧。
    abcbit
        15
    abcbit  
       2015-01-17 02:09:38 +08:00
    httpWatch是沒用的,看到的東西根本無法證明被劫持了。wireshark吧,這才是王道
    liyangyijie
        16
    liyangyijie  
       2015-01-17 02:51:21 +08:00
    移动的劫持 深得gfw真传
    只要http网站出现敏感词 立马掐断
    只要出现百度域名立马带上小尾巴
    小城市投诉其实要靠运气的……
    用百度还是带上https吧
    xuhaotian
        17
    xuhaotian  
       2015-01-17 02:55:36 +08:00
    同铁通宽带
    劫持污染各种网站
    xiazaiba和pcbeta论坛全污染到盗版win7下载网站
    klksak
        18
    klksak  
       2015-01-17 11:11:09 +08:00 via Android   ❤️ 1
    现在应该都是HTTP劫持了,改dns也没用的,有的运营商会把dns请求流量都劫持掉,自动重重定向到运营商自己的DNS服务器上。
    真要找到证据就用Wireshark抓包吧。用户端发起浏览网页请求后,运营商会用一个伪造的HTTP数据包回复你(因为是运营商网内设备发的,这个伪造的数据包通常会先于真正的网站的数据包到达用户电脑。)这个伪造数据包没有什么实质性内容,就是一条重定性语句,将你的访问请求重定向到另外一个网址。同时,这个伪造的数据包将TCP tag里的fin字段置位,也就是终断这个TCP连接。这样,随后来自网站的真正的回包也都被丢弃了。
    youhuyouhu
        19
    youhuyouhu  
       2015-01-17 12:53:36 +08:00
    工信部不管可以去找通信管理局,这类问题在通信管理局首页是有明确的规定条列的。
    GeekGao
        20
    GeekGao  
       2015-01-17 13:59:30 +08:00
    直接开骂,然后告诉他们你要投诉到工信部
    wecan
        21
    wecan  
    OP
       2015-01-17 16:02:26 +08:00
    @klksak 谢谢~这是目前收到最好的帮助!
    wecan
        22
    wecan  
    OP
       2015-01-17 19:14:18 +08:00 via Android
    @klksak 用了wireshark。发现GET根目录后2ms就返回了一个带FIN的包,然后之后正常(50多ms)返回的包被当成了retransmission。我follow tcp stream发现出现了一个302 redirect,下面都是乱码,应该就是那个2ms的包是伪造的,导致了跳转。请问有办法具体查到是哪个节点吗?或者证明那个2ms返回的包里面带有302重定向信息吗?不胜感激!
    uvhchina
        23
    uvhchina  
       2015-01-17 22:05:11 +08:00   ❤️ 1
    没用的,放弃吧
    移动有些是 CDN 干的,DNS 劫持、TCP 劫持,减少跨网流量
    有些是中间插个网关,然后用协议改改 http 的内容,打打广告,收集点用户信息
    接投诉的人都不知道咋整
    klksak
        24
    klksak  
       2015-01-18 14:03:08 +08:00   ❤️ 1
    @wecan 如@uvhchina所说,一般都是运营商网内CDN节点干的。按照道理,正常的HTTP请求是不会出现访问A而自动重定向到B的情况的(A和B是两个无关的网站)。
    wecan
        25
    wecan  
    OP
       2015-01-18 20:10:26 +08:00 via Android
    @klksak 非常感谢!我想知道,在技术上有可行的办法能知道到底是哪个节点劫持的吗?或者通过wireshark能不能看到重定向的代码是包含在哪个包里面?谢谢!!
    RoyLaw
        26
    RoyLaw  
       2015-01-18 22:36:01 +08:00
    为什么要证明?直接投诉啊,运营商肯定都在做劫持推送广告。
    wecan
        27
    wecan  
    OP
       2015-01-19 09:07:57 +08:00
    @RoyLaw 对方需要我提供被劫持的详细信息,说这样才能帮我处理
    RoyLaw
        28
    RoyLaw  
       2015-01-19 09:21:52 +08:00   ❤️ 1
    @wecan 这么不上路子,你直接截图去工信部网站投诉他,只要受理到运营商那里他们都比较害怕
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1076 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:09 · PVG 03:09 · LAX 11:09 · JFK 14:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.