是谁控制了我们的浏览器?

必方

在剑盟看到的帖子，很值得玩味特此转来，建议新手就不用看了。


9 v' _& x0 H& U6 _* |' A............................................................................................................................................
, V/ Q* G# l$ V" P( Q5 }' g' ]1 ?5 _" c
是谁控制了我们的浏览器?
1、现象是什么？
+ h8 Y! r' |+ f4 M) d% [$ w　　
6 X4 D& K2 B( l5 J8 z大约从今年年初开始，很多人就发现，在浏览一些网站的时候，
6 u, d4 Y, t( L1 C1 d地址栏的url后面会被莫名其妙地加上“?curtime=xxxxxxxxxx”（x为数字），并且弹出广告窗口。
- o( ?+ j; P& T3 V很多人以为这是网站自己弹出的广告，也就没有在意。
& ]8 Q2 Z1 G* _' P　　
7 \! Q+ ^" @( f9 o7 D  H我是属于很在意的那些人之一。
3 D8 y  f* H3 d& M9 r　　
2、这是怎么回事？
　　
经过测试和分析，我们发现，上述现象与使用何种浏览器无关（我们测试了各种流行的http客户端），
" Q6 J  b5 j/ Z+ c与使用何种操作系统也无关（linux用户也有相关报告）。
我对出现该现象的IE浏览器进程进行了跟踪调试，没有发现任何异常。可以断定，并不是系统被安装了adware或者spyware。
　　
那么是不是那些网站自己做的呢？后来发现，访问我们自己管理的网站时也出现了这种情况，排除了这个可能。
3 N+ q  ~5 a9 y1 K　　
那么剩下唯一的可能就是：有人在某个或某几个关键网络节点上安装了inject设备，
劫持了我们的HTTP会话——我实在是不愿相信这个答案，这个无耻、龌龊的答案。
1 ]1 f6 W" ?) I　　
伟大的谢洛克·福尔摩斯说过：当其他可能都被排除之后，剩下的，即使再怎么不可思议，也一定是答案。
& L; c- Q, G) ]' W! b% T0 g1 T( l　　
为了验证这个想法，我选择了一个曾经出现过上述现象的网站附近网段的某个IP。
3 N/ V9 x0 ~6 l直接访问这个IP的HTTP服务，正常情况下是没有页面的，应该返回 404错误。
我写了一个脚本。不断访问这个IP，同时记录进出的数据包。
/ h+ Y2 L2 z4 B% V2 z( G9 J在访问进行了120次的时候，结束请求，查看数据。120次请求中，118次返回的都是正常的404错误：
' h. K. w$ M( _% bHTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Mon, 19 Jul 2004 12:57:37 GMT
1 U/ V4 O- j; d) p  ^; {4 Z4 uConnection: close
4 G, x% q# C# c- m  MContent-Type: text/html
Content-Length: 111
2 N0 N; I) R' r〈html〉〈head〉〈title〉Site Not Found〈/title〉〈/head〉
〈body〉No web site is configured at this address.〈/body〉〈/html〉
　　
6 Z8 p) M- ^3 C2 F$ R6 N8 I/ i1 ^但是有两次，返回了这个:
HTTP/1.1 200 OK
Content-type: text/html
〈html〉
〈meta http-equiv='Pragma' content='no-cache'〉
! M) }8 F4 i/ Z0 g2 m, w/ ~* H〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉
$ `$ V  w" d' l6 w& _〈script〉
( b; d+ C. n* D% i: S7 `6 ewindow.open('http://211.147.5.121/DXT06-005.htm', '', 'width=400,height=330');
〈/script〉
〈head〉
〈title〉〈/title〉
〈/head〉
〈body〉
1 l) s5 V9 U4 O, x) |〈/body〉
〈/html〉
　　
更进一步分析数据包,可知劫持流程如下：
) [8 I6 q9 k0 W$ e6 L4 p% S　　
A、在某个骨干路由器的边上，躺着一台旁路的设备，监听所有流过的HTTP会话。
. r9 s% E, {2 K! N" z  q: t- [! b这个设备按照某种规律，对于某些HTTP请求进行特殊处理。
　　
B、当一个不幸的HTTP请求流过，这个设备根据该请求的seq和ack，把早已准备好的数据作为回应包，发送给客户端。
) E+ g8 u, d$ `9 q! L* h这个过程是非常快的。我们的 HTTP请求发出之后，仅过了0.008秒，就收到了上面的回应。
) |& M3 v) ^' I1 C而任何正常的服务器都不可能在这么短的时间内做出回应。
3 [' Y2 Z' m, p$ b4 L, R. p　　
C、因为seq和ack已经被伪造的回应用掉了，所以，真正的服务器端数据过来的时候，会被当作错误的报文而不被接受。
　　
D、浏览器会根据〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉这一行，
- {7 q2 J  r5 d$ ^/ i6 n, t重新对你要访问的URL进行请求，这一次，得到了请求的真正页面，并且调用window.open函数打开广告窗口。
$ q3 ]5 G: w& v& v# i0 S, d2 Z- L　　
2 R; t8 w6 _9 d  V在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索，出现的基本上是国内网站，
6 T. U; ~' j6 u) f, r2 D2 {+ {这表明，问题出在国内。用于inject的设备插在国内的某个或某几个大节点上。
　　
( o9 X, z7 ]: R7 F真相大白。我们被愚弄了，全中国的网民都成了某些人的赚钱工具。
) {! v1 F9 s9 |! d, k　　
3、现在怎么办?
. S& W5 y- J+ f* w1 t' E/ b　　
在坏家伙被捉出来之前,我们要想不受这个玩意的骚扰，可以考虑下面的方法：
1 P- ~$ J' ?: n) z0 E) W- q0 U　　
: z8 V* C3 d9 o" ?. M+ c5 ~A、请各单位的网络管理员，在网络的边界设备上，完全封锁211.147.5.121。
4 K5 h, M2 y/ _0 p! \% G) z& [　　
: X- N: w( U2 _( d0 y- Q5 pB、在你自己的个人防火墙上,完全封锁211.147.5.121。
　　
8 U# E3 `/ n1 g- v6 a- t1 UC、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE，可以把“http://211.147.5.121/*”丢到弹出窗口过滤列表中去。
5 {% \+ |+ _- ~: C  r  i$ @　　
绝不只是广告那么简单，这涉及到我们的选择，我们的自由，这比垃圾邮件更加肮脏和无耻。
今天是广告，明天就可能在你下载软件的时候给你加个adware或者加个病毒进去，谁知道呢？
3 s& `# Z- S! b+ r我们的HTTP通信完全控制在别人手里。
　　
4、如何把坏家伙揪出来？
7 K* m5 q% G0 l4 h* h　　
5 K$ @$ Z9 \0 d7 h% D8 O9 m6 j* }- d如果你是一个有权力调查和处理这件事的人，从技术上，可以考虑下面的手段:
　　
方法1：
　　
伪造的回应数据中并没有处理TTL，也就是说,我们得到的回应数据中TTL是和inject设备位置相关的。
2 S. f4 N3 b: `" N0 D0 a以我收到的数据包为例，真实的服务器端回应 TTL是107，伪造的回应TTL是53。
那么，从我们这里到被请求的服务器之间经过了21(128-107)个节点，从我们这里到inject设备经过了11(64-53)个节点。
0 ^) |4 w5 K  F$ b/ R只需要traceroute一下请求的服务器，得到路由回溯，往外数第11个节点就是安插inject设备的地方！
　　
方法2:
　　
( z1 s/ A% u7 i. ^9 v2 q( L. v0 w! @& V假如坏家伙也看到了这篇文章，修改了TTL，我们仍然有办法。
在google上以下面这些关键字搜索：php?curtime,htm? curtime,asp?curtime,可以得到大量访问时会被inject的网址。
编写脚本反复访问这些网址，验证从你的ip访问过去是否会被 inject.将确实会被inject的结果搜集起来，
在不同的网络接入点上挨个用traceroute工具进行路由回溯。分析回溯的结果。
　　
上面我们已经说明了，坏家伙是在某个或者某些重要节点上安插了inject设备，
那么这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。
, I0 j3 f. c3 Z7 P1 F4 ]例如有A、B、C、D四个被inject到的网站，从四个地方进行路由回溯的结果如下：
# q  i+ @5 R% I2 M( u( L: RMyIP-12-13-14-15-65-[89]-15-57-A
0 t8 C3 z) m& F* D4 J7 fMyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
; m. F# r* D* P1 u7 a9 X5 z3 Y, H4 }MyIP-22-25-29-32-65-45-[89]-58-D
　　
显然,inject设备极大可能就在“89”所在的机房。
　　
3 T% l* L" V- `2 c0 A+ }" F方法3:
/ ?; e1 P9 f0 t$ z5 O) U) L　　
# s. S- }8 s. U0 y& z' B- }2 o7 Y另一方面，可以从存放广告业面的211.147.5.121这个IP入手，whois查询结果如下:
inetnum: 211.147.0.0 - 211.147.7.255
& F% Z- X% _+ B9 D) ]7 d5 inetname: DYNEGY-COMMUNICATION
# _( _9 A0 Z; Kdescr: DYNEGY-COMMUNICATION
descr: CO.LTD
descr: BEIJING
country: CN
, K* Q; Z2 k6 |% E& i, Dadmin-c: PP40-AP
tech-c: SD76-AP
! Y$ B$ U6 B7 s; E; j# K6 Pmnt-by: MAINT-CNNIC-AP
changed: [email protected] 20011112
status: ALLOCATED PORTABLE
source: APNIC
2 _0 g) B$ J. }* R) Y* bperson: Pang Patrick
0 Y8 X" W: F4 A" p: g! K, C" Cnic-hdl: PP40-AP
e-mail: [email protected]
address: Fl./8, South Building, Bridge Mansion, No. 53
1 P3 C1 J2 ?6 ^/ F  |7 wphone: +86-10-63181513
# U9 Z; N/ \( {' D. ^' q5 M0 y) ofax-no: +86-10-63181597
country: CN
1 v8 I) Z2 J9 C3 {changed: [email protected] 20030304
% Y. ~$ N0 ?! Q5 n6 Pmnt-by: MAINT-CNNIC-AP
1 Y" W. F; R( n# [0 `) Y) o2 isource: APNIC
person: ShouLan Du
address: Fl./8, South Building, Bridge Mansion, No. 53
country: CN
9 F3 w9 `% M% e  pphone: +86-010-83160000
6 s6 K" ~. n+ g2 x# hfax-no: +86-010-83155528
e-mail: [email protected]
nic-hdl: SD76-AP
mnt-by: MAINT-CNNIC-AP
/ ?! q; s4 j; W1 V) K9 Gchanged: [email protected] 20020403
; L3 w/ I- _% D! V4 ~source: APNIC
　　
8 x6 P" l3 I1 |8 |9 s# G3 F  j5、我为什么要写这篇文章？
　　
新浪为我提供桃色新闻，我顺便看看新浪的广告，这是天经地义的；
或者我安装某某网站的广告条，某某网站付给我钱，这也是天经地义的。
可是这个 211.147.5.121既不给我提供桃色新闻，又不给钱，却强迫我看广告，这就严重伤害了我脆弱而幼小的心灵。
' \( d$ K. ]& [' _8 a3 }事实上，你可以敲诈克林斯·潘，强奸克里奥·佩德拉，咬死王阳明，挖成吉思汗墓，我都不会计较，
- X4 Q3 s1 E; ]# q8 P5 e, M但是现在你既然打搅了我的生活，我就不得不说几句了。
* n: Z% X6 L0 K$ ^& c5 W, c) M　　
, F9 G2 I( G4 g2 u  C6、我是谁？
/ Z  F3 Z" `, F9 h" b0 M# S　　
8 L3 |# i* G6 u" Y  @如果你知道MyName，又知道MyCount的话，那么，用下面这段perl可以得到：2f4f587a80c2dbbd870a46481b2b1882。
1 P2 ^0 q; Z) y7 ^  s3 z#!/usr/bin/perl -w
use Digest::MD5 qw(md5 md5_hex md5_base64);
. b0 K6 k* @* C# U" X: E$name = 'MyName';
" r  X( ]9 S, C1 @$count = MyCount;
for ($i=0; $i〈$count; $i++)
{
" I4 }' o+ m* w- Q$name = md5_hex($name);
7 Q( |5 K& L3 }8 j/ c}
print $name;
$ p' c/ I9 c' A$ o   
以下签名，用于以后可能出现的关于此文的交流：
, U! z/ ^* ]$ M2 B2 {  J+ B( a5 B1 6631876c2aea042934a5c4aaeabb88e9
2 a6a607b3bcff63980164d793ff61d170
3 6a58e8148eb75ce9c592236ef66a3448
4 ded96d29f7b49d0dd3f9d17187356310
5 cc603145bb5901a0ec8ec815d83eea66

armymanuse

ttv

我有点看不懂？我太菜了。

THOMASGUO

谢谢版主, 所言甚是,非常有用,稍后我将按照版主所教的方法来做!

rulingdanny

是有点专业了，如果不是对计算机网络的工作流程比较了解的话，很难理解其中许多名次的含义。希望楼主能发一些比较通俗或者容易大家接受的文章，毕竟不是每个人都是研究计算机。
8 @" K3 {' r: g$ m" E" R% }0 v总之非常感谢您提供这篇文章，从文章的内容上来说还是很有帮助的，希望您以后继续支持改版。

必方

...抱歉，原作者分析清晰，操作精准，如果有相关基础的话，是很值得学习的。
1 z2 I2 Y4 O6 m. p
' U: L' |; Y: p6 C1 _- Trulingdanny斑竹所说即是，以后注意了，实在抱歉。