洛阳铲的日志

2007年03月26日

114已经严重影响工作了

Filed under: 生活小札 — blog @ 22:06

电信的114 search这个流氓,已经严重影响工作了,电信机房的一台web服务器, precompile的页面 老是带指向114的错误提示,我一看到这个就觉得不舒服,公司的dns服务器在美 国,而且在bind上面做了acl, 电信机房的几台服务器没有在公司的专线网络以内,解析内部Domain的时候受限, 电信的DNS故技重演, 将内部Domain指到那个218.83.175.154的IP,实在让人难以接受,有不用电信产品 的机会,绝对不会放弃 哪怕多给几个子,连baidu我都不想搭理(blog上的rewrite限制带有baidu字样的robot),别说这个玩意儿。

2007年03月2日

简析search.sh.vnet.cn欺骗伎俩

Filed under: 生活小札 — HackGou @ 23:42

最近发现输入无效的域名的时候总是跳到 search.114.vnet.cn进行垃圾搜索,这其实是一种从dns开始的会话劫持,跟客户端完全没有关系。
作为中国第一大网络运用商,使用这种无耻的伎俩,蒙骗用户,获取 点击,让人极为愤怒。
他的手法可以说毫无技术可言: 先修改dns的查询结果:将所有无结果的DNS查询,都转到一个IP,然后利用这个IP来使用http转跳。 以上海为例: 当拨号上网的时候从电信处获取的IP配置如下:

Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.0.100
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DHCP Server . . . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 202.96.209.134
202.96.209.6

注意那两个DNS服务器,这两个服务器就是整个会话劫持的始作涌者。

ping -a 202.96.209.134
Pinging ns-pdb.online.sh.cn [202.96.209.134] with 32 bytes of data:
Reply from 202.96.209.134: bytes=32 time=14ms TTL=246
Reply from 202.96.209.134: bytes=32 time=14ms TTL=246
ping -a 202.96.209.6
Pinging ns-pxb.online.sh.cn [202.96.209.6] with 32 bytes of data:
Reply from 202.96.209.6: bytes=32 time=13ms TTL=247
Reply from 202.96.209.6: bytes=32 time=12ms TTL=247

我们ping的结果可以看出来,这两个IP对应的域名是ns-pdb.online.sh.cn和ns-pdb.online.sh.cn (由于我是上海的电信用户):

#nslookup
> dontexistdomain.cn
Server: ns-pxb.online.sh.cn
Address: 202.96.209.6
Non-authoritative answer:
Name: dontexistdomain.cn
Address: 218.83.175.154

看见没有,再来一个:

> another_dont_exist_domain.cn
Server: ns-pxb.online.sh.cn
Address: 202.96.209.6
DNS request timed out.
timeout was 2 seconds.
Non-authoritative answer:
Name: another_dont_exist_domain.cn
Address: 218.83.175.154

这就是所有没有对应IP域名都会指向的IP。 把这个ip的80端口的抓回来,可以看到下面这些内容:

#wget http://218.83.175.154
#cat index.html
s=String(window.location.href); mylocal=s.substring(7,s.indexOf(‘/’,7)); function myradom() { return Math.round(Math.random()*273); }
var KeyList = new Array(273);
KeyList[4]=”超级女生”
KeyList[5]=”免费电影”
KeyList[10]=”情感”
KeyList[11]=”交友”
………………
………………
KeyList[52]=”丰胸”
KeyList[53]=”减肥”
KeyList[54]=”乙肝”
KeyList[55]=”性病”
KeyList[56]=”保健”
KeyList[223] = “成人”;
KeyList[224] = “成人高考”;
KeyList[225] = “成人用品”;
t=”http://search.114.vnet.cn/search_web.html?id=596&fm=pro&kw=”+KeyList[myradom()]+”&s=81″;
//t=”http://www.163.com”;
//t=”http://218.30.64.194/response.asp?MT=”+mylocal+”&srch=5&prov=&utf8″;
document.location.href = t;

这就是劫持的所有过程了,
让人啼笑皆非,163的注释都还在,要是打开了的话,163岂不是会被ddos?
防范这个很简单,我在路由器上面直接封掉218.83.175.154这个IP,天下又恢复太平。
尾记:仅仅从技术层面上面封掉它很简单,深入一点点:作为基本职业操守:诚信,何在?作为中国第一大电信运营商,为了商业利益,做到这种地步,非常令人寒心。

Powered by WordPress