V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
myleon
V2EX  ›  DNS

移动 dns 劫持怎么破

  •  
  •   myleon · 2018-01-24 14:05:26 +08:00 · 7544 次点击
    这是一个创建于 2497 天前的主题,其中的信息可能已经有所发展或是发生改变。
    发现百度搜索“彩票”结果里网站很多都被劫持了,联想到手机这几天粘贴的时候莫名其妙出现支付宝的口令,怀疑被劫持。手机不浏览网页,不过最近用微快递下单后的页面出现底部广告,下单后就有支付宝口令可以粘贴了(不一定复现)。



    尝试:
    路由器 dns 指定,本地链接 dns 指定,清理 dns 缓存,重启电脑,但劫持依旧在。

    有帖子说移动 53 端口是劫持的指定 dns 没用。
    也有的说是 http 劫持。

    求助 v 友咋办?
    21 条回复    2018-01-24 18:44:00 +08:00
    MinQ
        1
    MinQ  
       2018-01-24 14:16:27 +08:00
    http 劫持吧,抓个包保存好,写一封申诉信到 [email protected] ,抓包内容保存为附件,要写明是某某市的移动干的,以及自己的联系方式,然后坐等移动的客服经理电话赔礼道歉。
    flyz
        2
    flyz  
       2018-01-24 14:28:51 +08:00
    @MinQ 后面,移动客服经理就会给你留一个私人邮箱,以后让你抓完包,发给他,把帮你处理好。

    我联通就被安排了一个声音可爱的小姐姐,小姐姐表示,她也看完我的抓包视频也是懵逼的,她保证不是市级公司的行为,然后就把邮件帮我转发到了省公司,一个星期后,劫持解除。
    ixinshang
        3
    ixinshang  
       2018-01-24 14:33:03 +08:00 via Android
    可以报给你访问的网线 记得要抓包
    我这边经常接到一些用户的投诉,只有有数据 一报一个准!
    ThirdFlame
        4
    ThirdFlame  
       2018-01-24 14:33:45 +08:00
    运营商 很少有人敢搞这个。被发现了就直接开除了。
    不能说绝对没有,但绝大多数都不是运营商搞的。
    多是 cdn 投毒 等其他恶意攻击手段导致。

    2 楼说转到省公司劫持解除了,不一定是运营商解除了,而是运营商找到劫持点给处理掉了。
    MinQ
        5
    MinQ  
       2018-01-24 14:36:43 +08:00
    @ThirdFlame 同一个省公司内的不同市公司劫持后显示的内容是相同的,找到劫持点给处理了的话说不通吧
    ThirdFlame
        6
    ThirdFlame  
       2018-01-24 14:37:00 +08:00
    查了下 caipiao.163.com 的解析结果 223.252.195.135 [中国浙江杭州电信 /联通 /移动] 223.252.195.166 [中国浙江杭州电信 /联通 /移动]。 楼主的解析是正确的并没有出现 dns 劫持的问题。
    而是中间有设备把流量劫持了。
    KevZhi
        7
    KevZhi  
       2018-01-24 14:38:57 +08:00 via iPhone
    这种劫持都太低级了。运营商手里都有开关。没必要大费周章抓包录视频什么的
    直接给客服打电话反映就行
    回答必然是:你手机的问题,装了什么软件之类的。和稀泥的废话
    你就直接说,我就是干互联网这一行的,确定就是你们移动劫持的,你们上级部门干的什么逼事儿,他们心里有数。我知道,你这么说,也是上级要求的,你也不用给我解释了。你直接给我转上级投诉,把我原话写上去就行了。你们就按你们要求的 48 小时内给我回复解决就行了,解决不了我会直接工信部投诉。
    然后坐等打电话就行了
    MinQ
        8
    MinQ  
       2018-01-24 14:39:57 +08:00
    @KevZhi 你直接打电话给运营商客服第一次绝对会赖账,说啥最后都会变成他们那边检测正常,只有找到工信部才能解决问题。
    ThirdFlame
        9
    ThirdFlame  
       2018-01-24 14:41:58 +08:00
    @MinQ 这很正常,一个省的出口是固定的,劫持点如果是在市公司,不可能每个地市劫持内容是相同的。 可以判断劫持点没在市公司。
    如果在 CDN 或者 CACHE 内投毒,肯定影响所有 CDN\CACHE 下的所有用户啊,也就会出现所有地市劫持内容是一样的 。

    现在劫持手段很狡猾,运营商也不愿意被劫持,但是真的不好找。
    MinQ
        10
    MinQ  
       2018-01-24 14:43:35 +08:00
    @ThirdFlame 正常啥啊,我都已经投诉到省公司了,在 A 市的劫持已经解除了,结果到同省内的 B 市出差,发现了同样的劫持内容,抓了一下包发现还是之前投诉的那个 IP。你这就有点说不过去了吧
    ThirdFlame
        11
    ThirdFlame  
       2018-01-24 14:45:01 +08:00
    @KevZhi 然后一堆运营商的工程师 就开始忙活了,复现吧 不好复现。 但劫持现象确实存在,抓包吧 只能看到劫持现象,怎么着劫持点 一头雾水。
    运营商有没有劫持能力 , 有 必须有。 否则怎么 cache 怎么工作的。
    运营商有没有必要搞这种黑产(赌 BO、色情、支付宝红包)劫持,没有。
    KevZhi
        12
    KevZhi  
       2018-01-24 14:46:26 +08:00 via iPhone
    @MinQ 当然,要点如下:
    1.你们不用给我说这些没用的,我就是干这一行的,很明确知道是你们上级干的。直接转投诉把我的原话提交上去就行
    2.上级心里有数,肯定给解决,解决不了我投诉工信部,你们最怕事情闹大。

    只要你能说服,让客服专员不给你说废话,按照你要求提交投诉,就能解决。
    MinQ
        13
    MinQ  
       2018-01-24 14:48:10 +08:00
    @KevZhi 之前我投诉也是这么干的,本着先礼后兵的原则先打的投诉电话,通话内容基本跟你说的也差不多。等了一天告诉我他们那边没有检测到问题。挂了电话立马给工信部写电邮,三天之后问题解决
    KevZhi
        14
    KevZhi  
       2018-01-24 14:48:38 +08:00 via iPhone
    @KevZhi 我上次遇到的太明显了,直接在我的博客上放那种悬浮球,连上电脑 Safari 调试一眼就看出是北京移动机房的 IP 挂的 js。
    KevZhi
        15
    KevZhi  
       2018-01-24 14:53:02 +08:00 via iPhone
    @ThirdFlame 当然最近的劫持都是比较温和的,收敛了很多。一般都是挂个小球 打开是新闻什么的,但还是有利可图,劫持这种事情,没有人比运营商能更容易做到。毕竟有钱不赚王八蛋。
    Laobai
        16
    Laobai  
       2018-01-24 14:53:18 +08:00
    最简单的方法就是换电信联通
    myleon
        17
    myleon  
    OP
       2018-01-24 15:26:55 +08:00
    感谢大家,解析 ip 正确看来不是 dns 劫持应该是 http 劫持,看来自己做个层面是解决不了了。
    准备打 10086 投诉,得到最终回复后未解决的话就投诉工信部。
    honam
        18
    honam  
       2018-01-24 15:50:21 +08:00
    我用 4G 每次打开百度,都会重定向另一个百度页面,第二次输入才显示正常
    PureWhite
        19
    PureWhite  
       2018-01-24 16:13:22 +08:00
    @Laobai 电信联通一样劫持。。。。
    移动电信联通你指望他们工程师能有多大能耐。。。
    maipian
        20
    maipian  
       2018-01-24 17:37:42 +08:00
    想起了当年和某 cdn 厂商对接的时候,销售信誓旦旦的说他们有反劫持工具,然后说劫持和反劫持是内部两个部门在做不同的产品。。一个服务于客户一个服务于运营商。。。
    EmmaSwan
        21
    EmmaSwan  
       2018-01-24 18:44:00 +08:00
    @honam 我的家庭宽带也这样. 百度首页第一次的数据包里经常有"传奇"两个字, 这是某款游戏花钱买的劫持? 可却看不到任何广告, 不知道是不是被我浏览器屏蔽了.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5899 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 01:52 · PVG 09:52 · LAX 17:52 · JFK 20:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.