2012-12-15

宽带网络运营商劫持网站的技术分析

Views: 17688 | 10 Comments

这篇日志最主要是为了在搜索引擎留下一条记录.

最近, 家里用的宽带通网络服务非法劫持网页流量, 修改正常的网页请求的响应, 然后在这个非法的响应里通过 iframe 来访问正常的网站. 不管是大网站还是小网站, 都中招, 例如 amazon, qq 等. 而且, 由于浏览器的缓存, 直接用浏览器来查看源码可能看不到被修改的非法响应, 用网络抓包工具, 或者自己 telnet 发 HTTP 请求看得比较清楚. 被网络运营商非法篡改劫持的网页请求的响应为:

HTTP/1.1 200 OK
Connection: close
Date: Tue, 31 Aug 2012 06:20:14 GMT
Server: Apache/1.2.6
Content-Length: 583
Content-Type: text/html

<html>
<head><title></title>
<style type="text/css">body{margin:0px; padding:0px; overflow:hidden;}</style>
</head>
<body>
<iframe id="userSrc" name="userSrc" src="" width="100%" height="100%"
    marginheight="0" marginwidth="0" frameborder="0"></iframe>
<script language="javascript" type="text/javascript">
    var fra = frames['userSrc'];var url = 'http://finance.qq.com/';if(url)fra.location = url;
</script>
<script type="text/javascript" language="javascript"
    src="http://sc.istreamsche.com/push.js?spid=0200000012&uid=02000a0...&i=257f24">
</script>
</body>
</html>

广告的样式就是在浏览器右下角弹一个大概 300x240 的 flash 广告, 卖各种商品. 广告网站域名的 whois 查询:

Domain Name ..................... istreamsche.com
Name Server ..................... dns21.hichina.com
dns22.hichina.com
Registrant ID ................... hc355041511-cn
Registrant Name ................. Wu Peng
Registrant Organization ......... Bei Jing Ji Ao Zhong He Ke Ji You Xian Gong Si
Registrant Address .............. Bei Jing Shi Chao Yang Qu
Registrant City ................. bei jing shi
Registrant Province/State ....... bei jing
Registrant Postal Code .......... 100027
Registrant Country Code ......... CN
Registrant Email ................ wupeng@geomedia.com.cn
过期时间 ................. 2013-04-26 09:29:06

再看这个 geomedia.com.cn(北京集奥众和)的网站, 确实是个网络营销的网站.

联系了宽带通北京的客服, 底层客服人员说不是他们加广告, 客服可能说的是实话. 然后多次交涉之后, 他们派技术人员上门, 而且他们技术人员自己的办公网络也被加了网页广告. 所以, 这个决策要么是宽带通的高层加的, 底层人员不了解内幕, 要么是宽带通所使用的上一层的电信和网通非法劫持网站流量加入的广告.

目前, 在中国这种网络运营商劫持网站非法添加广告赚取钱财的做法在全国都有存在. 在搜索引擎查询, 最早应该是从 2006 开始出现. 最好的结果是让运营商把你的账号加入到白名单, 不再弹广告. 但运营商内部也可能只有少部分人知道这种非法勾当, 你想找他们理论都没地方找.

我们自己如何解决? 目前最好的解决方法是让浏览器不发送 User-Agent, 大部分网站都不依赖 User-Agent, 空的 User-Agent 也当作是普通浏览器.

Firefox 插件: https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher
Chrome 插件: https://chrome.google.com/webstore/detail/user-agent-switcher-for-c/djflhoibgkdhkhhcedjiklpkjnoahfmg

如何判断宽带是否被挟持? - 你注意浏览器的标题栏, 如果显示的不是网页的标题, 而是一个英文网址的话, 说明被挟持了!

补充: 经过交涉, 大概在1个月之后, 运营商清除了广告.

Related posts:

  1. 强大的纯JS数据图工具-flot
  2. JavaScript+jQuery两栏选择控件
  3. 以浏览器为核心的客户端软件的安全问题
  4. 用Javascript生成弹出窗口
  5. 各种 Comet 技术优缺点对比
Posted by ideawu at 2012-12-15 22:20:18

10 Responses to "宽带网络运营商劫持网站的技术分析"

  • 我们单位的网络被http://gknrt.pop.game3737.com/flash/dwyf/index.html?agent_id=58510&placeid=36507&cplaceid=&type=4&game_id=156&aid=dwyf&rand=1&ref=36507.html&t=0.9109264942234612(斗圣—重回攻城经典)的游戏广告挟持了,造成许多网站无法正常使用,而且我们有许多钱款交易,为保证钱款安全,请网络运营商尽快处理。 Reply
  • 反馈和投诉是有效果的, 运营商在处理了半个月个终于打电话回复我, 说广告去掉了, 昨晚验证了一下, 好像是去掉了. Reply
  • 晕呀,我也是宽带通,数据被劫持了。现在上网,玩页游都完全受影响。
    是不是得集体去投诉一下。 Reply
    @shenzhe: 先打他们的投诉电话 010-84603993, 让技术人员上门检测. 然后在网上谴责他们. Reply
    @ideawu: 关键他们的技术太烂了,乱拦截。 post方式的,ajax的,json的数据都拦截。毫无意义,不可能弹的出广告,真的是无语到家了。 Reply
  • 宽带通不清楚,不过联通的话,办宽带的合同里就写了会弹广告…… Ծ﹏Ծ
    为什么浏览器不发送 User-Agent 就能避免广告啊? :) Reply
    @小骆驼商队: 没想到联通的宽带合同里就写了会弹广告啊!!! 这帮强盗太明目张胆了! Reply
    @ideawu: 他们管弹广告叫“提供优惠信息”……
    另外找到一个办法,Chrome 不用装扩展也能改 UA:http://www.chromi.org/archives/13727 Reply
    @小骆驼商队: 呵呵, 不知道那个修改UA的方式是不是能在关闭Chrome后保存, 回去试试. Reply
    @小骆驼商队: 因为如果浏览器不支持, 它弹也没用, 还会影响用户体验带来更多投诉. 所以, 运营商对不支持的浏览器不弹广告. 你看, 强盗做坏事还是很"贴心(用心)"的. Reply

Leave a Comment