怎么抓那台推送广告的设备？

This topic created in 3832 days ago, the information mentioned may be changed or developed.

http 劫持，网页劫持，或者弹出广告。随机性的，间隔时间长。

抓包如何抓到那台推送设备的 IP ？现在只能抓取到广告服务器（广告联盟的， cdn 。。。），，而不是推送广告的设备。

而且难度大，随机性的，一天就弹出那么几个。网页还不是固定的，随机性的，难度不是一般的大。。

有什么办法可以抓取到推送广告的这台设备的 ip ？

推送

劫持

设备

9 replies • 2015-12-07 00:35:06 +08:00

virusdefender

Nov 30, 2015

本地 wireshark 保存所有流量，然后慢慢分析。

datocp

Nov 30, 2015 via Android

已经习惯天天挂代理了根本不再见到推广页面，昨天手机刚 root 下酷市场才发现被电信赤裸裸的换成应用宝，这要推个病毒来。。。。

imlonghao

Nov 30, 2015 via Android

@virusdefender 我抓过挟持 hao123 的，会用 iptables 把他干掉，但是设备的位置不会推测。

yeyeye

Nov 30, 2015

@datocp 论 https 的重要性。

不得不说，频繁的劫持也是有助于大家都启用 https 的

virusdefender

Nov 30, 2015

@imlonghao 参考 http://security.tencent.com/index.php/blog/msg/10

virusdefender

Nov 30, 2015

ttl 也可以大致的反查位置

raysonx

Nov 30, 2015

1.凭我的经验，推送设备通常是个旁路设备，你根本不可能抓住推送设备的 IP ，更不用说它的 IP 可能只是个内网 IP 。
2.即使抓住推送设备的 IP 也没用，因为它是伪装成你访问的目的机器工作的，换句话说，伪造的数据包的源 IP 是你访问的目标机器。
3.如果推送机器伪造的数据包没有使用随机 TTL 的话，可以通过抓 TTL 大致推断它所处的位置。

syslog

Dec 3, 2015

无解，哪怕运营商自己要查也很困难？ Netflow ？流量采集样本太大， TTL 反推？人家一个可变 TTL 就搞晕你了。有办法反查那也是运营商的人才有办法

Cola90

Dec 7, 2015

ttl 由 1 递增发请求，如果递增到 x 的时候，开始有广告返回的话就能确定在那一跳出问题了。