飞鱼博客

个人测试的电脑共有四台 操作系统均为Windows XP Pro SP2 IE6.0

如果只想了解为什么会出现这个问题。请直接到本文的后面。第九 结论

以下是 对浏览器(IE)下端被新浪广告劫持 测试的过程

测试地点
    昆明北郊51区 电信ADSL 2006年5月27日 下午3：00
    昆明东郊38区 电信ADSL 2006年5月27日 下午21：00
    昆明南郊41区 电信ADSL 2006年5月28日 上午11：00
    昆明东郊33区 中国网通 2006年5月28日 下午5：00

接入网络分别通过 电信 网通

第一、浏览器(IE)下端被新浪广告劫持 发现时间
2006年5月27日 下午2：00 左右

第二、发现地点
昆明市北市51区通过电信ADSL接入网络

第三、被却持后电脑情况
一开始没有注意。以为是朋友的电脑里面是不是中了流氓软件什么的。当时打开www.mydrivers.com 〔驱动之家〕网站时发现。还以为是驱动之家做的广告。

第四、发现情况 2006年5月27日 下午3：00 左右
当我把我的个人笔记本电脑接入朋友网络时。以默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时发现就连MSN出现了这样的广告。我以为是什么新毒让我的笔记本电脑中毒了。但我用kaka助手、端星、McAfee、WindowsDefender等专业查杀软件没有任何问题。这时我开始怀疑……

第五、确定本人电脑无问题 2006年5月27日 下午21：00 －－ 23：30
当我回到家后，打开我个人台式电脑。接入电信东郊38区ADSL网络。打开默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时同样出现了浏览器(IE)下端被新浪广告劫持….这是我开始对我的系统不放心了。而且我还打了一个电话给了我一个开网吧的朋友。他说还没发现这个问题。之后试着打开其它中国门户网站…..还是会出现浏览器(IE)下端被新浪广告劫持。概率测算了一下在5％左右。不放心的我开始用以前系统GHOST文件开始恢复系统，这个时间已经是23：10了，我用了6分种将系统恢复。进入系统第一个打开默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时同样出现了浏览器(IE)下端被新浪广告劫持。

第六、重新安装全新操作系统 2006年5月28日 上午0：00 －－ 上午1：00
这时对电脑进全面的清理。最终找来一个80G的硬盘用DM格式化后。开始安装全新系统

第七、问题依然出现
当我安装好系统后。让我最难过的是我打开网页后 浏览器(IE)下端被新浪广告劫持 依然存在。

第八、开始分析 2006年5月28日 上午1：00 －－ 上午4：00
最先我看了一下 浏览器(IE)下端被新浪广告劫持 时的网页源码发现网页代码已经被替换 内容如下：

<html> <meta http-equiv='Pragma' content='no-cache'> <head> <title></title> <script LangUage='JavaScript'>try{var tmp=parent.window.location.href}catch(e){window.location.reload();}</script> </head> <frameset framespacing=0 border=0 rows='*,0' frameborder=0 onload="window.lxmainframe.location='http://ad4.sina.com.cn/sina/ziguang/yunnan/frame.html?url='+window.location;"> <frame name='lxmainframe' src='about:blank' scrolling='auto'> <frame name='lxblankframe' src='about:blank' scrolling='no'> </frameset> </body></html>

这时进行网络跟踪 Netstat 结果如下:

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    computer:1724          67.29.176.254:http    ESTABLISHED
  TCP    computer:1732          207.46.198.30:http    ESTABLISHED
  TCP    computer:1734          218.30.66.8:http      ESTABLISHED
  TCP    computer:1735          test1.cn.msn.com:http  ESTABLISHED
  TCP    computer:1736          218.30.66.8:http      ESTABLISHED
  TCP    computer:1737          218.30.66.8:http      ESTABLISHED
  TCP    computer:1738          218.30.66.8:http      ESTABLISHED
  TCP    computer:1743          218.30.66.8:http      ESTABLISHED
  TCP    computer:1744          218.30.66.8:http      ESTABLISHED

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

对IP:218.30.66.8 进行查询  (这个IP有问题)
查询结果1：陕西省 西安市 电信IDC
查询结果2：北京市 电信机房

IP:207.46.198.30 这是系统自动升级系统使用的IP地址
查询结果1：美国 North America United States
查询结果2：美国 Microsoft公司

IP:67.29.176.254
查询结果1：美国 North America United States
查询结果2：美国 科罗拉多州

经过对源代码中http://ad4.sina.com.cn/sina/ziguang/yunnan/frame.html?url='+window.location;"进行分析
可知。这个新浪的广告是真正从Sina网发出的。

再对网页中新浪广告分析。其中任意一条都是以http://www.smallqqy.com/sina_2006/sina_2006.html?http://2006.sina.com.cn/******** 进行调用

当在IE地址栏中输入 http://www.smallqqy.com/sina_2006/sina_2006.html?  IE会进行无限循环跳转

当在IE地址栏中输入 http://www.smallqqy.com/sina_2006/ 时可以看到广告的源代码以目录方式出现

当在IE地址栏中输入 http://www.smallqqy.com/down_sohu3.html 是色情广告

对www.smallqqy.com进行 查询如下内容

www.smallqqy.com >> 61.138.197.220 （这是广告发行者）
查询结果1：云南省 昆明市 电信
查询结果2：云南省昆明市 电信

通过对信息产业部TCP/IP查询 得知
www.smallqqy.com 未备案 也没有在黑名单中

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
通过中国互联网中心(www cnnic.net.cn)进行查询
CNNIC IP WHOIS数据库

地址段范围:  61.138.192.0 – 61.138.223.255 
网络名:  CHINANET-YN 
单位描述:  CHINANET Yunnan province network 
单位描述:  Data Communication Division 
单位描述:  China Telecom 
国家:  CN 
管理联系人:  CH93-AP 
技术联系人:  ZL48-AP 
维护方帐号:  MAINT-CHINANET 
次级维护者:  MAINT-CHINANET-YN 
地址段状态:  ASSIGNED NON-PORTABLE 
更改记录:  hostmaster@ns.chinanet.cn.net 20000601 
更改记录:  hm-changed@apnic.net 20040927 
数据来源:  APNIC 

联系人:  Chinanet Hostmaster 
联系人帐号:  CH93-AP 
电子邮件:  anti-spam@ns.chinanet.cn.net 
通信地址:  No.31 ,jingrong street,beijing 
通信地址:  100032 
电话:  +86-10-58501724 
传真:  +86-10-58501724 
国家:  CN 
更改记录:  lqing@chinatelecom.com.cn 20051212 
维护方帐号:  MAINT-CHINANET 
数据来源:  APNIC 

联系人:  zhiyong liu
联系人帐号:  ZL48-AP 
电子邮件:  hpnut@mail.yn.cninfo.net 
通信地址:  136 beijin roadkunmingchina 
电话:  +86-871-3360605 
传真:  +86-871-3360614 
国家:  CN 
更改记录:  hpnut@mail.yn.cninfo.net 20040426 
维护方帐号:  MAINT-CHINANET-YN 
数据来源:  APNIC 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

对 www.smallqqy.com 域名进行查询

  Domain Name: SMALLQQY.COM
  Registrar: HICHINA WEB SOLUTIONS (HONG KONG) LIMITED
  Whois Server: grs.hichina.com
  Referral URL: http://whois.hichina.com
  Name Server: DNS.IHW.COM.CN
  Name Server: DNS1.IHW.COM.CN
  Status: ACTIVE
  Updated Date: 28-mar-2006
  Creation Date: 28-mar-2006
  Expiration Date: 28-mar-2007
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Domain Name ………………… smallqqy.com
Name Server ………………… dns.ihw.com.cn
                                  dns1.ihw.com.cn
Registrant ID ………………. hc194345924-cn
Registrant Name …………….. Keh Keivn
Registrant Organization ……… Beijing Unismedia Technology Co.
Registrant Address ………….. No.40, Fuwai St
Registrant City …………….. beijingshi
Registrant Province/State ……. beijing
Registrant Postal Code ………. 100037
Registrant Country Code ……… CN
Registrant Phone Number ……… +86.1065581565 -
Registrant Fax ……………… +86.1065581567 -
Registrant Email ……………. domainreg@help.com.cn
Administrative ID …………… hc194345924-cn
Administrative Name …………. Keh Keivn
Administrative Organization ….. Beijing Unismedia Technology Co.
Administrative Address ………. No.40, Fuwai St
Administrative City …………. beijingshi
Administrative Province/State … beijing
Administrative Postal Code …… 100037
Administrative Country Code ….. CN
Administrative Phone Number ….. +86.1065581565 -
Administrative Fax ………….. +86.1065581567 -
Administrative Email ………… domainreg@help.com.cn
Billing ID …………………. hichina001-cn
Billing Name ……………….. hichina
Billing Organization ………… HiChina Web Solutions Limited
Billing Address …………….. 3/F., HiChina Mansion
                                  No.27 Gulouwai Avenue
                                  Dongcheng District
Billing City ……………….. Beijing
Billing Province/State ………. Beijing
Billing Postal Code …………. 100011
Billing Country Code ………… CN
Billing Phone Number ………… +86.01064242299 -
Billing Fax ………………… +86.01064258796 -
Billing Email ………………. domainadm@hichina.com
Technical ID ……………….. hichina001-cn
Technical Name ……………… hichina
Technical Organization ………. HiChina Web Solutions Limited
Technical Address …………… 3/F., HiChina Mansion
                                  No.27 Gulouwai Avenue
                                  Dongcheng District
Technical City ……………… Beijing
Technical Province/State …….. Beijing
Technical Postal Code ……….. 100011
Technical Country Code ………. CN
Technical Phone Number ………. +86.01064242299 -
Technical Fax ………………. +86.01064258796 -
Technical Email …………….. domainadm@hichina.com
Expiration Date …………….. 2007-03-28 02:11:26

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

第九、结论

这台www.smallqqy.com的服务器是在昆明。而且是在昆明电信主干网络中。

经过测试和分析，我们发现，上述现象与使用何种浏览器无关（我们测试了各种流行的http客户端），与使用何种操作系统也无关。对出现该现象的IE浏览器进程进行了跟踪调试，没有发现任何异常。可以断定，并不是系统被安装了adware或者spyware。

那么剩下唯一的可能就是：有人在某个或某几个关键网络节点上安装了inject设备，劫持了HTTP会话

通过相关网络资料的查阅得知

分析数据包，可知劫持流程如下：
A、在某个骨干路由器的边上，躺着一台旁路的设备，监听所有流过的HTTP会话。这个设备按照某种规律，对于某些HTTP请求进行特殊处理。

B、当一个不幸的HTTP请求流过，这个设备根据该请求的seq和ack，把早已准备好的数据作为回应包，发送给客户端。这个过程是非常快的，我们的HTTP请求发出之后，仅过了0.008秒，就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。

C、因为seq和ack已经被伪造的回应用掉了，所以，真正的服务器端数据过来的时候，会被当作错误的报文而不被接受。

D、浏览器会根据<script LangUage='JavaScript'>try{var tmp=parent.window.location.href}catch(e){window.location.reload();}</script>
这一行，重新对你要访问的URL进行请求，这一次，得到了请求的真正页面，并且调用window.location.reload函数打开广告窗口。

绝不只是广告那么简单，今天是广告，明天就可能在你看门户网站的时候给你加个adware或者加个病毒进去，谁知道呢？我们的HTTP通信完全控制在别人手里。