详解电信封路由打开网页显示检测到多台电脑页面,及解决方法
网上很多人说的电信检测路由的方法都是胡乱猜测,下面的方法是比较正确的。
从某些渠道获知,电信采取对ADSL用户内网主机个数的检测,根本不是通过什么SNMP协议等方法,而通过修改MAC地址的方法来防止检测也是一个很荒谬的流言
而采取cookie的方法目前来说网页劫持比较多,这样做的同时除了可以获取到主机的个数,而且可以像广州有线电视无耻的插广告的方式,来插入垃圾网页强制要求用户浏览。
接下来就开始说明一下广州电信是如何拦截用户的网页浏览的。
测试的环境: 浏览器ie 6.0 抓包工具: sniffer pro 4.7 adsl路由上网
测试步骤:重新拨号,用浏览器打开www.google.com网页,同时运行抓包工具分析整个访问流程。
如果是正常的网页访问想必大家都知道就2个步骤:
步骤1:客户端向服务器发出访问请求
步骤2:服务器向客户端发回网页数据
但是在这次抓包过程中,却发现整个访问的步骤多了很多大体步骤如下:
步骤1:客户端向google服务器发访问请求(google服务器的IP为64.233.189.104)
步骤2:怪事来了!google服务器竟然发过来一个命令要求
客户端带着某种参数去访问IP地址为59.42.71.199的服务器。
步骤3:于是客户端向IP 为59.42.71.199的服务器发出带参数的访问请求,
步骤4:IP为59.42.71.199的服务器返回数据给客户端(返回的数据包含2个功能,一个是在客
户端设置了一个cookie文件,一个是让客户端重新访问www.google.com)
步骤5:于是客户端又傻忽忽的去访问google服务器;
步骤6:google服务器给客户端返回正常的网页数据。
经过查询59.42.71.199的IP是广州电信的ip,而且该主机我也扫描过了,是一台windows2003+II6的服务器,服务器名是gz-web(我想一般人是不会用这个机器名的吧。),而且本人的主机到该服务器只需要10跳,和202.96.128.68广州的域名服务器的跳数一样,那么是不是电信的搞的服务器,呵呵。。。。。我就不多说了。
以上不难看出我们在访问google的时候,出现了异常,其中关键在那里呢,就在步骤2!,当我们正常的去访问某个网站的时候(比如google),这时候,电信拦截了这个客户端的访问请求,并伪造出了这个网站给客户端的返回数据,欺骗客户端去访问电信指定的一个垃圾或恶意的网站,在客户端访问网站的同时给在客户端上生成相当于验证码的cookie,从而获取用户信息或其他不可告人的目的,当他们目的达到后,又欺骗客户去重新访问正常的网站并不再搞拦截欺骗。
那么通过cookie来获取内网主机个数的原理是什么的,这个就我个人看法是,要求通过对内网所有的用户的网页劫持,强制要求所有用户去访问某个恶意的网站,并生成cookie种到用户的主机内。而每个cookie的内容在每台主机都是不一样的,这样如果在某个时间段内,有相同的ip,但是有5个不同的cookie来访问过这个恶的网站,那么马上就可以分析出该ip内至少有5台主机。
但是这里我们需要注意的几个方面是:
一,电信不会拦截所有的网站,主要对大家经常使用的网站进行拦截欺骗,
二,电信也不会一直对某个用户进行拦截,一般是用户拨号上网后,第一次访问网页时进行拦截,以后不定期的或周期性的对客户进行拦截。
三,个人信息隐私问题,再在这里用户访问网页所有的动作,电信全部可以记录下来。
相必我们都记得索尼就曾经在光盘中加入防止盗版的信息,遭遇了巨额赔款。中国电信的此举显然也是严重侵犯了用户的隐私,若遭遇网民的集体诉讼…………………………. 反正我是不太看好!。
这个就是关键的第二步
******************内容*************************
<HTML>
<head>
<title>
</title>
<META HTTP-EQUIV=”Pragma” CONTENT=”no-cache”>
<META http-equiv=”Content-Type” content=”text/html;charset=gb2312″>
</head>
<body>
<iframe width=0 height=0 style=”display:none; width:0px;height:0px;”src=”http://59.42.71.199/ndatin.aspx?1479443740&m=4¶m=ABZFhOb………tdVdVkyOXRMdz09″>
</iframe>
</body>
</html>
********************************************************
大家请注意“ width=0 height=0 style=”display:none; width:0px; height:0px” 这个东西,也就是说大家访问新的网站打开的新窗口的长宽都是 0! 也就是是说新打开的窗口 我们是看不到的!
******************内容*****************
HTTP/1.1 200 OK
Date: Tue, 18 Jul 2006 12:38:14 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Set-Cookie: ASP.NET_SessionId=bz1XXXXXXXXX; path=/
Set-Cookie: ExpCookieTicket2005=K6XXX…XXXXkg==;
****在这里给客户设置cookie****
expires=Fri, 28-Jul-2006 12:38:14 GMT; path=/
Cache-Control: private
Expires: Mon, 17 Jul 2006 12:38:14 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 246
<HTML>
<HEAD>
<META HTTP-EQUIV=”Pragma” CONTENT=”no-cache”>
<script>
try
{
window.setTimeout(“top.location.href = ‘http://www.google.com/’;”, 800);
****用这个指令让用户重新访问正常网站****
}
catch (e)
{
}
</script>
<title></title>
</HEAD>
<body>
</body>
</HTML>
***************************************
