是谁控制了我们的浏览器?

必方

在剑盟看到的帖子，很值得玩味特此转来，建议新手就不用看了。

& i4 e6 h7 a: Z; ^3 |
............................................................................................................................................

是谁控制了我们的浏览器?
) g2 h6 n% v" `  e1、现象是什么？
　　
大约从今年年初开始，很多人就发现，在浏览一些网站的时候，
; y9 }: Z$ V# L2 b/ p地址栏的url后面会被莫名其妙地加上“?curtime=xxxxxxxxxx”（x为数字），并且弹出广告窗口。
3 d! J* {0 d" A3 U很多人以为这是网站自己弹出的广告，也就没有在意。
2 g  U, t6 i! C) E9 W　　
! l3 M- p* S( c' j我是属于很在意的那些人之一。
　　
2、这是怎么回事？
　　
经过测试和分析，我们发现，上述现象与使用何种浏览器无关（我们测试了各种流行的http客户端），
与使用何种操作系统也无关（linux用户也有相关报告）。
我对出现该现象的IE浏览器进程进行了跟踪调试，没有发现任何异常。可以断定，并不是系统被安装了adware或者spyware。
　　
& C1 I" C3 h/ ~! r. K0 N- k那么是不是那些网站自己做的呢？后来发现，访问我们自己管理的网站时也出现了这种情况，排除了这个可能。
　　
/ y; @& ]7 X( z$ U5 y- c/ t6 P' x% ?那么剩下唯一的可能就是：有人在某个或某几个关键网络节点上安装了inject设备，
劫持了我们的HTTP会话——我实在是不愿相信这个答案，这个无耻、龌龊的答案。
6 n: q) Q- g/ H  R6 [0 t　　
伟大的谢洛克·福尔摩斯说过：当其他可能都被排除之后，剩下的，即使再怎么不可思议，也一定是答案。
　　
为了验证这个想法，我选择了一个曾经出现过上述现象的网站附近网段的某个IP。
直接访问这个IP的HTTP服务，正常情况下是没有页面的，应该返回 404错误。
我写了一个脚本。不断访问这个IP，同时记录进出的数据包。
在访问进行了120次的时候，结束请求，查看数据。120次请求中，118次返回的都是正常的404错误：
2 n  S( Q; D; K. lHTTP/1.1 404 Object Not Found
  E& f( A% e" r. H; Q7 K; EServer: Microsoft-IIS/5.0
8 I1 _! N% G7 S2 NDate: Mon, 19 Jul 2004 12:57:37 GMT
- u2 N% R. ~7 [1 fConnection: close
1 Z5 {' u2 m7 mContent-Type: text/html
+ Z7 r0 G# f2 a" [Content-Length: 111
〈html〉〈head〉〈title〉Site Not Found〈/title〉〈/head〉
〈body〉No web site is configured at this address.〈/body〉〈/html〉
( Y+ V3 Q: X6 S( G; M　　
" i9 v, Q# W* _& z4 n但是有两次，返回了这个:
HTTP/1.1 200 OK
Content-type: text/html
" p3 }1 K9 g- D  P9 X( M〈html〉
〈meta http-equiv='Pragma' content='no-cache'〉
' P" O& h$ n2 L' d) j6 b〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉
〈script〉
window.open('http://211.147.5.121/DXT06-005.htm', '', 'width=400,height=330');
  o& n" h! H0 H7 ?  {" Q〈/script〉
〈head〉
〈title〉〈/title〉
$ e2 K  K% x! H, G3 C〈/head〉
〈body〉
( k  y# K3 d. h, {〈/body〉
7 Y, O" @3 x+ @7 a( g〈/html〉
' y9 l& G" q  t　　
更进一步分析数据包,可知劫持流程如下：
　　
A、在某个骨干路由器的边上，躺着一台旁路的设备，监听所有流过的HTTP会话。
3 t5 N/ D; E3 c! K. z这个设备按照某种规律，对于某些HTTP请求进行特殊处理。
　　
$ n) Q* G, H$ T! t( JB、当一个不幸的HTTP请求流过，这个设备根据该请求的seq和ack，把早已准备好的数据作为回应包，发送给客户端。
& B" B: m8 m, f$ `% v1 o7 H这个过程是非常快的。我们的 HTTP请求发出之后，仅过了0.008秒，就收到了上面的回应。
5 }/ ]1 h' q; B$ ^+ z" L, o而任何正常的服务器都不可能在这么短的时间内做出回应。
# ^) S) Q- x! i5 j　　
: [- `3 @  x+ n7 fC、因为seq和ack已经被伪造的回应用掉了，所以，真正的服务器端数据过来的时候，会被当作错误的报文而不被接受。
　　
; Q: M; c. J' G& y0 _* j# m5 sD、浏览器会根据〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉这一行，
) e6 m% A! u# f! c- S9 h. x重新对你要访问的URL进行请求，这一次，得到了请求的真正页面，并且调用window.open函数打开广告窗口。
  s! G3 A" x) g& R; z　　
$ X( j. q+ G8 ]8 ?* L在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索，出现的基本上是国内网站，
6 y+ Q1 B8 _1 b2 t这表明，问题出在国内。用于inject的设备插在国内的某个或某几个大节点上。
　　
真相大白。我们被愚弄了，全中国的网民都成了某些人的赚钱工具。
1 B$ t0 G4 }) A1 ^- C8 \　　
3、现在怎么办?
2 g, K1 n" H$ j# }% G/ U　　
3 j: X& d5 x6 ?! s在坏家伙被捉出来之前,我们要想不受这个玩意的骚扰，可以考虑下面的方法：
2 p3 ~4 x3 A: n　　
$ s( J9 t7 Y; L2 X, r# y% B( D  hA、请各单位的网络管理员，在网络的边界设备上，完全封锁211.147.5.121。
, N  m: e( }: e% x　　
( }' i( P; G3 D% g. q; [1 u* J+ d1 tB、在你自己的个人防火墙上,完全封锁211.147.5.121。
6 W$ b# V' L/ S+ |9 X　　
C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE，可以把“http://211.147.5.121/*”丢到弹出窗口过滤列表中去。
　　
绝不只是广告那么简单，这涉及到我们的选择，我们的自由，这比垃圾邮件更加肮脏和无耻。
& `% ^  C: q( N2 Y! I4 `5 v6 m今天是广告，明天就可能在你下载软件的时候给你加个adware或者加个病毒进去，谁知道呢？
我们的HTTP通信完全控制在别人手里。
　　
4、如何把坏家伙揪出来？
5 ]0 @# u$ V4 ^: t4 ~& T　　
3 c' S- Y5 X6 ?& P3 V0 m如果你是一个有权力调查和处理这件事的人，从技术上，可以考虑下面的手段:
1 P& V* ?1 c# v9 D　　
4 L3 w& c8 [9 }6 ^$ n% F( @方法1：
　　
伪造的回应数据中并没有处理TTL，也就是说,我们得到的回应数据中TTL是和inject设备位置相关的。
( X. g! m4 R8 k7 W7 b/ h* P& t6 z/ o以我收到的数据包为例，真实的服务器端回应 TTL是107，伪造的回应TTL是53。
$ z4 C( U# _& H2 {那么，从我们这里到被请求的服务器之间经过了21(128-107)个节点，从我们这里到inject设备经过了11(64-53)个节点。
# Q* f' j/ u. l, Y只需要traceroute一下请求的服务器，得到路由回溯，往外数第11个节点就是安插inject设备的地方！
　　
. s/ ]4 K, X1 ~" d4 Y$ H方法2:
: L' k+ g1 {: X0 n7 L9 }　　
# q* A7 }" i! I5 Z1 M2 r假如坏家伙也看到了这篇文章，修改了TTL，我们仍然有办法。
- b% c8 h# H6 y在google上以下面这些关键字搜索：php?curtime,htm? curtime,asp?curtime,可以得到大量访问时会被inject的网址。
编写脚本反复访问这些网址，验证从你的ip访问过去是否会被 inject.将确实会被inject的结果搜集起来，
' J9 D+ Z: P9 L- ?/ d' c在不同的网络接入点上挨个用traceroute工具进行路由回溯。分析回溯的结果。
0 J$ l! H! T9 |/ K5 {　　
上面我们已经说明了，坏家伙是在某个或者某些重要节点上安插了inject设备，
6 y! i0 I3 @3 C# o$ w& S( z那么这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。
0 `; C- Q% D$ }6 {  S% O% I例如有A、B、C、D四个被inject到的网站，从四个地方进行路由回溯的结果如下：
MyIP-12-13-14-15-65-[89]-15-57-A
MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
2 n3 b2 }4 e- c# |: n9 q$ pMyIP-22-25-29-32-65-45-[89]-58-D
　　
9 T4 i, {) h% r6 g显然,inject设备极大可能就在“89”所在的机房。
$ {" B) }: }# A7 f/ d　　
- E5 Q* a! J) S1 M5 q" r( ^# j) Z9 R方法3:
　　
# o3 w  a- o: X8 h5 V# q3 V9 N另一方面，可以从存放广告业面的211.147.5.121这个IP入手，whois查询结果如下:
inetnum: 211.147.0.0 - 211.147.7.255
0 J! }1 ~) V& Lnetname: DYNEGY-COMMUNICATION
descr: DYNEGY-COMMUNICATION
descr: CO.LTD
descr: BEIJING
country: CN
6 D3 B0 [) u4 H* W+ b6 r+ T6 ?admin-c: PP40-AP
. x: g8 T  W+ Q6 jtech-c: SD76-AP
mnt-by: MAINT-CNNIC-AP
- ^0 D* `9 F- r6 J' H& hchanged: [email protected] 20011112
0 T8 E# ?( \$ e& Xstatus: ALLOCATED PORTABLE
- d% f4 K7 R7 @: p3 C, C3 Y' ?7 qsource: APNIC
: e, M' T  R- U! U  J; X/ lperson: Pang Patrick
- o" }, a8 _2 S+ c1 jnic-hdl: PP40-AP
7 H* E2 E* r4 n, H9 _e-mail: [email protected]
& f* Q# v. T; @: U; j% l+ M$ baddress: Fl./8, South Building, Bridge Mansion, No. 53
phone: +86-10-63181513
fax-no: +86-10-63181597
country: CN
$ o  @: @, l7 s/ m0 echanged: [email protected] 20030304
+ n- m" n% a7 l* J2 H% x+ m- Imnt-by: MAINT-CNNIC-AP
source: APNIC
" J  v& s0 F1 z3 ]: Hperson: ShouLan Du
address: Fl./8, South Building, Bridge Mansion, No. 53
country: CN
' a! ?" D8 h4 Q/ j$ }! _& Rphone: +86-010-83160000
fax-no: +86-010-83155528
e-mail: [email protected]
5 R( ?& y( D0 @5 A+ Jnic-hdl: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: [email protected] 20020403
source: APNIC
& i3 J- L# T4 e　　
) a2 {$ x* a3 N0 V! v% U5、我为什么要写这篇文章？
% c* r* W4 N  w$ M/ Q( Q　　
新浪为我提供桃色新闻，我顺便看看新浪的广告，这是天经地义的；
或者我安装某某网站的广告条，某某网站付给我钱，这也是天经地义的。
可是这个 211.147.5.121既不给我提供桃色新闻，又不给钱，却强迫我看广告，这就严重伤害了我脆弱而幼小的心灵。
事实上，你可以敲诈克林斯·潘，强奸克里奥·佩德拉，咬死王阳明，挖成吉思汗墓，我都不会计较，
但是现在你既然打搅了我的生活，我就不得不说几句了。
　　
3 X  A! M& J: z1 i# r6、我是谁？
　　
. Q5 k1 z: e- E8 O+ R8 U如果你知道MyName，又知道MyCount的话，那么，用下面这段perl可以得到：2f4f587a80c2dbbd870a46481b2b1882。
#!/usr/bin/perl -w
) [, |+ E$ [! R* X7 Euse Digest::MD5 qw(md5 md5_hex md5_base64);
$name = 'MyName';
$count = MyCount;
for ($i=0; $i〈$count; $i++)
{
  F4 e8 Z2 Y- Z  v& v& E) s9 d" b! P) ]1 _0 U$name = md5_hex($name);
}
print $name;
   
以下签名，用于以后可能出现的关于此文的交流：
1 6631876c2aea042934a5c4aaeabb88e9
2 a6a607b3bcff63980164d793ff61d170
3 6a58e8148eb75ce9c592236ef66a3448
2 j$ H9 a2 l- k# s4 ded96d29f7b49d0dd3f9d17187356310
) a# r& y4 C& Y( x5 cc603145bb5901a0ec8ec815d83eea66

armymanuse

ttv

我有点看不懂？我太菜了。

THOMASGUO

谢谢版主, 所言甚是,非常有用,稍后我将按照版主所教的方法来做!

rulingdanny

是有点专业了，如果不是对计算机网络的工作流程比较了解的话，很难理解其中许多名次的含义。希望楼主能发一些比较通俗或者容易大家接受的文章，毕竟不是每个人都是研究计算机。
总之非常感谢您提供这篇文章，从文章的内容上来说还是很有帮助的，希望您以后继续支持改版。

必方

...抱歉，原作者分析清晰，操作精准，如果有相关基础的话，是很值得学习的。
- t: S1 q2 E9 j, [
rulingdanny斑竹所说即是，以后注意了，实在抱歉。