运营商劫持如此丧心病狂，该如何破解？

This topic created in 4323 days ago, the information mentioned may be changed or developed.

今天发现访问度娘的时候被加上了推广代码 tn=19045005_29_pg
第一反应是 DNS 被劫，检查发现 DNS 没问题
先用“审查元素”看，晓得是被 302 了
再上神器 Wireshark 看具体数据包

101 号是发送 HTTP GET
102 号是运营商伪造的 TCP 数据包 302
106 号才是来自度娘的数据包
因为是重复 ACK，于是度娘链接被浏览器 RST
之后浏览器按照 302 跳到新网址

大概其他网站也被这样劫持了吧

但是这种劫持应该如何破解？我读书少，想不出破解之法

Supplement 1 · Jul 13, 2014

已确定是四川电信骨干网节点 202.97.70.229 处存在旁路监听劫持
见 http://www.v2ex.com/t/120713 与 http://www.v2ex.com/t/120674
也就是说四川省内都会存在这种情况，sign

上神器 iptables 过滤之

一开始只用 ip.id == 0 过滤，结果很多其他包也被过滤掉了
然后试着把 ip.ttl > 200 加入过滤条件，后面觉得不靠谱，就去掉了
考虑到劫持都是发送 302，HTTP 头部 HTTP/1.1 302 加上 Location 字段，再加上 IP 头 20 字节，TCP 头 20 字节，IP 包总长基本上就超过了 64 字节
最后把 ip.len >= 64 加上，过滤效果良好

于是在路由器中添加以下过滤命令

iptables -A INPUT -m u32 --u32 "0&0xffff=0x40:0xffff && 0x2&0xffff=0" -j DROP

参数解释：
0&0xffff=0x40:0xffff ：相当于 ip.len >= 64
0x2&0xffff=0 ：相当于 ip.id == 0

更多 u32 模块资料参见 http://www.stearns.org/doc/iptables-u32.current.html

数据包

劫持

破解

13 replies • 2014-07-28 14:55:05 +08:00