首页 > Z 转载文章 > 浏览器广告劫持分析说明

浏览器广告劫持分析说明

2010年5月16日 AEROFISH 1,210 views 发表评论 阅读评论

【这是一篇转载2006年瑞星卡卡论坛的一篇文章,可以肯定的是4年后的今天,类似的攻击手段依然存在,目前还是没有很好的解决方案(除非是你在上网服务商那里有熟人)。】

原文链接http://bbs.ikaka.com/showtopic-8079354-1.aspx

关于 浏览器(IE)【下端被新浪广告劫持】 分析说明

个人测试的电脑共有四台 操作系统均为Windows XP Pro SP2 IE6.0

如果只想了解为什么会出现这个问题。请直接到本文的后面。第九 结论

以下是 对浏览器(IE)下端被新浪广告劫持 测试的过程

测试地点
    昆明北郊51区 电信ADSL 2006年5月27日 下午3:00
    昆明东郊38区 电信ADSL 2006年5月27日 下午21:00
    昆明南郊41区 电信ADSL 2006年5月28日 上午11:00
    昆明东郊33区 中国网通 2006年5月28日 下午5:00

接入网络分别通过 电信 网通

第一、浏览器(IE)下端被新浪广告劫持 发现时间
2006年5月27日 下午2:00 左右

第二、发现地点
昆明市北市51区通过电信ADSL接入网络

第三、被却持后电脑情况
一开始没有注意。以为是朋友的电脑里面是不是中了流氓软件什么的。当时打开www.mydrivers.com 〔驱动之家〕网站时发现。还以为是驱动之家做的广告。

第四、发现情况 2006年5月27日 下午3:00 左右
当我把我的个人笔记本电脑接入朋友网络时。以默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时发现就连MSN出现了这样的广告。我以为是什么新毒让我的笔记本电脑中毒了。但我用kaka助手、端星、McAfee、WindowsDefender等专业查杀软件没有任何问题。这时我开始怀疑……

第五、确定本人电脑无问题 2006年5月27日 下午21:00 -- 23:30
当我回到家后,打开我个人台式电脑。接入电信东郊38区ADSL网络。打开默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时同样出现了浏览器(IE)下端被新浪广告劫持….这是我开始对我的系统不放心了。而且我还打了一个电话给了我一个开网吧的朋友。他说还没发现这个问题。之后试着打开其它中国门户网站…..还是会出现浏览器(IE)下端被新浪广告劫持。概率测算了一下在5%左右。不放心的我开始用以前系统GHOST文件开始恢复系统,这个时间已经是23:10了,我用了6分种将系统恢复。进入系统第一个打开默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时同样出现了浏览器(IE)下端被新浪广告劫持。

第六、重新安装全新操作系统 2006年5月28日 上午0:00 -- 上午1:00
这时对电脑进全面的清理。最终找来一个80G的硬盘用DM格式化后。开始安装全新系统

第七、问题依然出现
当我安装好系统后。让我最难过的是我打开网页后 浏览器(IE)下端被新浪广告劫持 依然存在。

第八、开始分析 2006年5月28日 上午1:00 -- 上午4:00
最先我看了一下 浏览器(IE)下端被新浪广告劫持 时的网页源码发现网页代码已经被替换 内容如下:


<html> <meta http-equiv='Pragma' content='no-cache'> <head> <title></title> <script LangUage='JavaScript'>try{var tmp=parent.window.location.href}catch(e){window.location.reload();}</script> </head> <frameset framespacing=0 border=0 rows='*,0' frameborder=0 onload="window.lxmainframe.location='http://ad4.sina.com.cn/sina/ziguang/yunnan/frame.html?url='+window.location;"> <frame name='lxmainframe' src='about:blank' scrolling='auto'> <frame name='lxblankframe' src='about:blank' scrolling='no'> </frameset> </body></html>

这时进行网络跟踪 Netstat 结果如下:

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    computer:1724          67.29.176.254:http    ESTABLISHED
  TCP    computer:1732          207.46.198.30:http    ESTABLISHED
  TCP    computer:1734          218.30.66.8:http      ESTABLISHED
  TCP    computer:1735          test1.cn.msn.com:http  ESTABLISHED
  TCP    computer:1736          218.30.66.8:http      ESTABLISHED
  TCP    computer:1737          218.30.66.8:http      ESTABLISHED
  TCP    computer:1738          218.30.66.8:http      ESTABLISHED
  TCP    computer:1743          218.30.66.8:http      ESTABLISHED
  TCP    computer:1744          218.30.66.8:http      ESTABLISHED

-------------------------------------------

对IP:218.30.66.8 进行查询  (这个IP有问题)
查询结果1:陕西省 西安市 电信IDC
查询结果2:北京市 电信机房

IP:207.46.198.30 这是系统自动升级系统使用的IP地址
查询结果1:美国 North America United States
查询结果2:美国 Microsoft公司

IP:67.29.176.254
查询结果1:美国 North America United States
查询结果2:美国 科罗拉多州

经过对源代码中http://ad4.sina.com.cn/sina/ziguang/yunnan/frame.html?url='+window.location;"进行分析
可知。这个新浪的广告是真正从Sina网发出的。

再对网页中新浪广告分析。其中任意一条都是以http://www.smallqqy.com/sina_2006/sina_2006.html?http://2006.sina.com.cn/******** 进行调用

当在IE地址栏中输入 http://www.smallqqy.com/sina_2006/sina_2006.html?  IE会进行无限循环跳转

当在IE地址栏中输入 http://www.smallqqy.com/sina_2006/ 时可以看到广告的源代码以目录方式出现

当在IE地址栏中输入 http://www.smallqqy.com/down_sohu3.html 是色情广告

对www.smallqqy.com进行 查询如下内容

www.smallqqy.com >> 61.138.197.220 (这是广告发行者)
查询结果1:云南省 昆明市 电信
查询结果2:云南省昆明市 电信

通过对信息产业部TCP/IP查询 得知
www.smallqqy.com 未备案 也没有在黑名单中

---------------------------------
通过中国互联网中心(www cnnic.net.cn)进行查询
CNNIC IP WHOIS数据库

地址段范围:  61.138.192.0 – 61.138.223.255 
网络名:  CHINANET-YN 
单位描述:  CHINANET Yunnan province network 
单位描述:  Data Communication Division 
单位描述:  China Telecom 
国家:  CN 
管理联系人:  CH93-AP 
技术联系人:  ZL48-AP 
维护方帐号:  MAINT-CHINANET 
次级维护者:  MAINT-CHINANET-YN 
地址段状态:  ASSIGNED NON-PORTABLE 
更改记录:  hostmaster@ns.chinanet.cn.net 20000601 
更改记录:  hm-changed@apnic.net 20040927 
数据来源:  APNIC 

联系人:  Chinanet Hostmaster 
联系人帐号:  CH93-AP 
电子邮件:  anti-spam@ns.chinanet.cn.net 
通信地址:  No.31 ,jingrong street,beijing 
通信地址:  100032 
电话:  +86-10-58501724 
传真:  +86-10-58501724 
国家:  CN 
更改记录:  lqing@chinatelecom.com.cn 20051212 
维护方帐号:  MAINT-CHINANET 
数据来源:  APNIC 

联系人:  zhiyong liu
联系人帐号:  ZL48-AP 
电子邮件:  hpnut@mail.yn.cninfo.net 
通信地址:  136 beijin roadkunmingchina 
电话:  +86-871-3360605 
传真:  +86-871-3360614 
国家:  CN 
更改记录:  hpnut@mail.yn.cninfo.net 20040426 
维护方帐号:  MAINT-CHINANET-YN 
数据来源:  APNIC 

-----------------------------------

对 www.smallqqy.com 域名进行查询

  Domain Name: SMALLQQY.COM
  Registrar: HICHINA WEB SOLUTIONS (HONG KONG) LIMITED
  Whois Server: grs.hichina.com
  Referral URL: http://whois.hichina.com
  Name Server: DNS.IHW.COM.CN
  Name Server: DNS1.IHW.COM.CN
  Status: ACTIVE
  Updated Date: 28-mar-2006
  Creation Date: 28-mar-2006
  Expiration Date: 28-mar-2007
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Domain Name ………………… smallqqy.com
Name Server ………………… dns.ihw.com.cn
                                  dns1.ihw.com.cn
Registrant ID ………………. hc194345924-cn
Registrant Name …………….. Keh Keivn
Registrant Organization ……… Beijing Unismedia Technology Co.
Registrant Address ………….. No.40, Fuwai St
Registrant City …………….. beijingshi
Registrant Province/State ……. beijing
Registrant Postal Code ………. 100037
Registrant Country Code ……… CN
Registrant Phone Number ……… +86.1065581565 -
Registrant Fax ……………… +86.1065581567 -
Registrant Email ……………. domainreg@help.com.cn
Administrative ID …………… hc194345924-cn
Administrative Name …………. Keh Keivn
Administrative Organization ….. Beijing Unismedia Technology Co.
Administrative Address ………. No.40, Fuwai St
Administrative City …………. beijingshi
Administrative Province/State … beijing
Administrative Postal Code …… 100037
Administrative Country Code ….. CN
Administrative Phone Number ….. +86.1065581565 -
Administrative Fax ………….. +86.1065581567 -
Administrative Email ………… domainreg@help.com.cn
Billing ID …………………. hichina001-cn
Billing Name ……………….. hichina
Billing Organization ………… HiChina Web Solutions Limited
Billing Address …………….. 3/F., HiChina Mansion
                                  No.27 Gulouwai Avenue
                                  Dongcheng District
Billing City ……………….. Beijing
Billing Province/State ………. Beijing
Billing Postal Code …………. 100011
Billing Country Code ………… CN
Billing Phone Number ………… +86.01064242299 -
Billing Fax ………………… +86.01064258796 -
Billing Email ………………. domainadm@hichina.com
Technical ID ……………….. hichina001-cn
Technical Name ……………… hichina
Technical Organization ………. HiChina Web Solutions Limited
Technical Address …………… 3/F., HiChina Mansion
                                  No.27 Gulouwai Avenue
                                  Dongcheng District
Technical City ……………… Beijing
Technical Province/State …….. Beijing
Technical Postal Code ……….. 100011
Technical Country Code ………. CN
Technical Phone Number ………. +86.01064242299 -
Technical Fax ………………. +86.01064258796 -
Technical Email …………….. domainadm@hichina.com
Expiration Date …………….. 2007-03-28 02:11:26

---------------------------------------

第九、结论

这台www.smallqqy.com的服务器是在昆明。而且是在昆明电信主干网络中。

经过测试和分析,我们发现,上述现象与使用何种浏览器无关(我们测试了各种流行的http客户端),与使用何种操作系统也无关。对出现该现象的IE浏览器进程进行了跟踪调试,没有发现任何异常。可以断定,并不是系统被安装了adware或者spyware。

那么剩下唯一的可能就是:有人在某个或某几个关键网络节点上安装了inject设备,劫持了HTTP会话

通过相关网络资料的查阅得知

分析数据包,可知劫持流程如下:
A、在某个骨干路由器的边上,躺着一台旁路的设备,监听所有流过的HTTP会话。这个设备按照某种规律,对于某些HTTP请求进行特殊处理。

B、当一个不幸的HTTP请求流过,这个设备根据该请求的seq和ack,把早已准备好的数据作为回应包,发送给客户端。这个过程是非常快的,我们的HTTP请求发出之后,仅过了0.008秒,就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。

C、因为seq和ack已经被伪造的回应用掉了,所以,真正的服务器端数据过来的时候,会被当作错误的报文而不被接受。

D、浏览器会根据<script LangUage='JavaScript'>try{var tmp=parent.window.location.href}catch(e){window.location.reload();}</script>
这一行,重新对你要访问的URL进行请求,这一次,得到了请求的真正页面,并且调用window.location.reload函数打开广告窗口。

绝不只是广告那么简单,今天是广告,明天就可能在你看门户网站的时候给你加个adware或者加个病毒进去,谁知道呢?我们的HTTP通信完全控制在别人手里。


本文对我无帮助,减1分本文对我有帮助,加1分 (本文对您有帮助吗?)
Loading ... Loading ...

分类: Z 转载文章 标签:
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.