http://ww2.sinaimg.cn/large/71d69efbgw1f8atragglfj21fm0tznd8.jpg
http://ww2.sinaimg.cn/large/71d69efbgw1f8atrzih4nj20bq055gm8.jpg

并没有直接直接按原图大小显示啊

@qq316107934

这个还是有硬伤的.把链接分配到不同路由表的话,对网关,也就是路由器本身的发起连接是无效的.从网关发起的连接是不经过打标记的那些 iptables 表的.

虽然大部分情况下 http/https 连接会支持 keep-alive,也就是一个请求完了会保持 tcp 连接以便之后请求复用,只要连接还没断开就不会分配新的出口,session 就不会有问题.

但是遇上不支持 keep-alive 的服务器,就很有可能没法保持 session 了.

再有就是虽然是按连接均分或随机分配,但每条连接有多少流量是不确定的,如果偶然的把大流量的连接都分配到一个出口了,还是会出现流量叠加不理想的情况.

按连接来均衡啊,用 iptables 的 state 模块对链接做追踪,把所有 NEW 包按出口数均分,或随机分配,并打上标记

然后对后续的 RELATED,ESTABLISHED 包按连接恢复标记

在 ip rule 按标记分配到不同路由表.

实现效果应该是介于 1,3 之间,但重点是实现简单方便,透明,只有有完整的 iptables,然后写个脚本就可以做到,完全不需要额外装什么包.

而且需要特殊按 IP 或其他条件来路由的话,只要调整 iptables 打上不同标记就好,很方便

自己目前就是这么用的,20 条 50M 宽带均衡负载.

@qceytzn

是的,我也是觉得移动对 UDP 包有劣化策略,

我 BT 已经禁用 uTP 协议(UDP)了,只使用传统加密协议(TCP),速度反而快了

对海外 DNS 请求也可以感觉到明显的劣化.

为何不在源头下手,要使客户端的浏览器请求运营商的 js 劫持地址,我目前就知道以下方法:

1.DNS 污染

2.直接对网页的 GET 请求抢答,在<head>或<body>中附加<script>节点来达成

3.对网页中<script>资源连接的 GET 请求抢答,直接返回劫持内容,或者返回中间代码对网站进行改写使浏览器做出 2.的行为来达到目的

从这 3 点来看,运营商的劫持都是工作在 OSI 第 4 层,所以我认为在 4 层进行拦截应该是效率最高的

@CloudnuY

就 146 来说真的没有其他特征了可以这么尝试,因为常见的 TTL 初始值比 146 大的也就 256 了,

而通常不会有这么多跳路由来把 256 减到 146.

并且 256 也是 64,128,256 这 3 者里面比较不常见的.

既然开始用 iptables 过滤了,为何不做得更优雅一点,把跳转的抢答包按特征匹配而不是按 IP

t/297916#reply7

整机出货有返点啊

然后是在你没注意的地方缩水

超能网原来做过一期调查的,虽然是 X 宝的

http://ww2.sinaimg.cn/large/71d69efbgw1f6pnn2k4yzj20k50aymyw.jpg http://ww2.sinaimg.cn/large/71d69efbgw1f6pnnplpf7j20c1048jro.jpg

这个劫持设备发了两个包,两个例子抢答包 ttl 分别是 73,74

一个是 ACK 标志位的并没有携带数据的纯确认包,作用是确认收到了客户端 GET 请求

然后还有一个就是抢答包了,他的标记位是 PSH,ACK.这个包其实已经包含了前面那个包的功能

这个包没有标记 FIN,而 PSH 在 TCP 里常用,不能成为明显的特征

看 IP 头和 TCP 头也没有什么畸形构造,TTL 是个特征但不安定,应该放在最后考虑

这里其实可以思考 IP 头,TCP 头容易成为特征是因为有规范,定长

而劫持设备发送的劫持包通常是预先设置好模板然后填入不同变量,所以可以看作是定长的头部

http://ww2.sinaimg.cn/large/71d69efbgw1f6mlwlpz65j20yf0aatge.jpg

红框内就是预计可以匹配的部分,让我选的话我会考虑匹配 Set-Cookie: apxlp=1;

然后我们看看抢答的正文

http://ww2.sinaimg.cn/large/71d69efbgw1f6mm2ynx8fj20qt0ap413.jpg

绿色的是设置初始变量,

红色是修改原有 cookie 的到期时间为 1970 年 1 月 1 日零点+1s,而 UNIX 认为 1970 年 1 月 1 日 0 点是时间纪元,并越过了 apxlp=1 这条没有处理

蓝色就是执行跳转的部分了使用 meta 节点做立即跳转,然后对 apple 设备做了特殊对待

使用 Set-Cookie: apxlp=1;作为关键词匹配

http://ww2.sinaimg.cn/large/71d69efbgw1f6mmsf1hf9j20u3086781.jpg

匹配成功

对应的 iptables 规则

iptables -A FORWARD -p tcp -m tcp --sport 80 -m u32 --u32 "130=0x5365742d&&134=0x436f6f6b&&138=0x69653a20&&142=0x6170786c&&146=0x703d313b" -j DROP

最后是关于 TTL 的

目前现代系统常见的初始 TTL 值一般是 64,128,256 这 3 种

观察握手时 TTL 可以发现两方到达 TTL 都小于 64,推测初始 TTL 为 64

而劫持包的 TTL 为 73 左右,初始 TTL 不可能是 64

那么要用 TTL 作为特征过滤可以参考这样

iptables -A FORWARD -s 117.78.34.197 -p tcp -m tcp --sport 80 -m ttl --ttl-gt 70 -m ttl --ttl-lt 80 -j DROP
iptables -A FORWARD -s 117.131.205.1 -p tcp -m tcp --sport 80 -m ttl --ttl-gt 70 -m ttl --ttl-lt 80 -j DROP

然而如果服务器使用了 CDN 那么 IP 很可能会变动,但不限制来源 IP,很可能会误伤

以上规则均未做验证,不保证有效

@Peanut666

这条规则主要是匹配针对网站主页面 302 跳转的劫持方式,

不过最近使用更多的应该是对 js 脚本的进行注入,或者抢答正文使网页被 iframe 嵌套,从而对网站页面改写显示广告.

用 Wireshark 对 tcp 劫持的观察,你还需要 chrome 的 f12 的开发者工具,并且对 html 各个节点的作用和 js 语言有初步的了解

然后你要挑一个劫持高发的页面和时段,然后打开 Wireshark,开发者工具之后刷新页面等劫持包到来.

出现劫持之后,开发者工具里面 Sources 页会显示页面对那些域名发送了请求,在这里应该能发现劫持之后对广告资源的请求

然后到 Network 查找到底是哪个请求回复的被动了手脚,确认之后,再到 Wireshark 里寻找这条请求的 TCP 连接是怎么通信的,观察连接那些包是反常的,畸形的.这样最终能确定运营商是怎么抢答的.

qbittorrent +2

@1OF7G @Feiox

些技术新么?不新.如果你不服发证据来打我的脸,比如 XX 技术在 XX 时间前没有产品使用,粗粮是最先的

过时么?不过时,这些是成熟的技术.

我看不惯粗粮不要脸的吹,你吹自己用了新科技,那我就找出真正吃了螃蟹,最先用了这些科技的产品

只有他们才有资格在广告文案写我们的产品用了新科技

不出意外的话,IP 位置变化是 流量穿透 所致.

而网址无响应很可能是 流量穿透 出现问题所致.

你可以尝试报修.但推荐直接换条宽带(电信 或 联通)

http://www.bilibili.com/video/av5152608/

Linus 蒸发式散热主机

类似这个?只不过雾气直接外排不影响室内?

你说的是 GFW 的话,是的,连接的两端都会收到伪造的 Reset 包

如果是移动的墙,那就不一定了,我遇到过只向用户段发送 Reset 包的,或者发送 Reset 包同时还发了一个 Fin 包的,又或者是双向 Reset 的

有些地方虽然移动有公网 IP 但是会走穿透,还是没几个地方能访问,基本没差..