浏览器广告劫持分析说明
【这是一篇转载2006年瑞星卡卡论坛的一篇文章,可以肯定的是4年后的今天,类似的攻击手段依然存在,目前还是没有很好的解决方案(除非是你在上网服务商那里有熟人)。】
原文链接http://bbs.ikaka.com/showtopic-8079354-1.aspx
关于 浏览器(IE)【下端被新浪广告劫持】 分析说明
个人测试的电脑共有四台 操作系统均为Windows XP Pro SP2 IE6.0
如果只想了解为什么会出现这个问题。请直接到本文的后面。第九 结论
以下是 对浏览器(IE)下端被新浪广告劫持 测试的过程
测试地点
昆明北郊51区 电信ADSL 2006年5月27日 下午3:00
昆明东郊38区 电信ADSL 2006年5月27日 下午21:00
昆明南郊41区 电信ADSL 2006年5月28日 上午11:00
昆明东郊33区 中国网通 2006年5月28日 下午5:00
接入网络分别通过 电信 网通
第一、浏览器(IE)下端被新浪广告劫持 发现时间
2006年5月27日 下午2:00 左右
第二、发现地点
昆明市北市51区通过电信ADSL接入网络
第三、被却持后电脑情况
一开始没有注意。以为是朋友的电脑里面是不是中了流氓软件什么的。当时打开www.mydrivers.com 〔驱动之家〕网站时发现。还以为是驱动之家做的广告。
第四、发现情况 2006年5月27日 下午3:00 左右
当我把我的个人笔记本电脑接入朋友网络时。以默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时发现就连MSN出现了这样的广告。我以为是什么新毒让我的笔记本电脑中毒了。但我用kaka助手、端星、McAfee、WindowsDefender等专业查杀软件没有任何问题。这时我开始怀疑……
第五、确定本人电脑无问题 2006年5月27日 下午21:00 -- 23:30
当我回到家后,打开我个人台式电脑。接入电信东郊38区ADSL网络。打开默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时同样出现了浏览器(IE)下端被新浪广告劫持….这是我开始对我的系统不放心了。而且我还打了一个电话给了我一个开网吧的朋友。他说还没发现这个问题。之后试着打开其它中国门户网站…..还是会出现浏览器(IE)下端被新浪广告劫持。概率测算了一下在5%左右。不放心的我开始用以前系统GHOST文件开始恢复系统,这个时间已经是23:10了,我用了6分种将系统恢复。进入系统第一个打开默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时同样出现了浏览器(IE)下端被新浪广告劫持。
第六、重新安装全新操作系统 2006年5月28日 上午0:00 -- 上午1:00
这时对电脑进全面的清理。最终找来一个80G的硬盘用DM格式化后。开始安装全新系统
第七、问题依然出现
当我安装好系统后。让我最难过的是我打开网页后 浏览器(IE)下端被新浪广告劫持 依然存在。
第八、开始分析 2006年5月28日 上午1:00 -- 上午4:00
最先我看了一下 浏览器(IE)下端被新浪广告劫持 时的网页源码发现网页代码已经被替换 内容如下:
<html> <meta http-equiv='Pragma' content='no-cache'> <head> <title></title> <script LangUage='JavaScript'>try{var tmp=parent.window.location.href}catch(e){window.location.reload();}</script> </head> <frameset framespacing=0 border=0 rows='*,0' frameborder=0 onload="window.lxmainframe.location='http://ad4.sina.com.cn/sina/ziguang/yunnan/frame.html?url='+window.location;"> <frame name='lxmainframe' src='about:blank' scrolling='auto'> <frame name='lxblankframe' src='about:blank' scrolling='no'> </frameset> </body></html>
这时进行网络跟踪 Netstat 结果如下:
Active Connections
Proto Local Address Foreign Address State
TCP computer:1724 67.29.176.254:http ESTABLISHED
TCP computer:1732 207.46.198.30:http ESTABLISHED
TCP computer:1734 218.30.66.8:http ESTABLISHED
TCP computer:1735 test1.cn.msn.com:http ESTABLISHED
TCP computer:1736 218.30.66.8:http ESTABLISHED
TCP computer:1737 218.30.66.8:http ESTABLISHED
TCP computer:1738 218.30.66.8:http ESTABLISHED
TCP computer:1743 218.30.66.8:http ESTABLISHED
TCP computer:1744 218.30.66.8:http ESTABLISHED
-------------------------------------------
对IP:218.30.66.8 进行查询 (这个IP有问题)
查询结果1:陕西省 西安市 电信IDC
查询结果2:北京市 电信机房
IP:207.46.198.30 这是系统自动升级系统使用的IP地址
查询结果1:美国 North America United States
查询结果2:美国 Microsoft公司
IP:67.29.176.254
查询结果1:美国 North America United States
查询结果2:美国 科罗拉多州
经过对源代码中http://ad4.sina.com.cn/sina/ziguang/yunnan/frame.html?url='+window.location;"进行分析
可知。这个新浪的广告是真正从Sina网发出的。
再对网页中新浪广告分析。其中任意一条都是以http://www.smallqqy.com/sina_2006/sina_2006.html?http://2006.sina.com.cn/******** 进行调用
当在IE地址栏中输入 http://www.smallqqy.com/sina_2006/sina_2006.html? IE会进行无限循环跳转
当在IE地址栏中输入 http://www.smallqqy.com/sina_2006/ 时可以看到广告的源代码以目录方式出现
当在IE地址栏中输入 http://www.smallqqy.com/down_sohu3.html 是色情广告
对www.smallqqy.com进行 查询如下内容
www.smallqqy.com >> 61.138.197.220 (这是广告发行者)
查询结果1:云南省 昆明市 电信
查询结果2:云南省昆明市 电信
通过对信息产业部TCP/IP查询 得知
www.smallqqy.com 未备案 也没有在黑名单中
---------------------------------
通过中国互联网中心(www cnnic.net.cn)进行查询
CNNIC IP WHOIS数据库
地址段范围: 61.138.192.0 – 61.138.223.255
网络名: CHINANET-YN
单位描述: CHINANET Yunnan province network
单位描述: Data Communication Division
单位描述: China Telecom
国家: CN
管理联系人: CH93-AP
技术联系人: ZL48-AP
维护方帐号: MAINT-CHINANET
次级维护者: MAINT-CHINANET-YN
地址段状态: ASSIGNED NON-PORTABLE
更改记录: hostmaster@ns.chinanet.cn.net 20000601
更改记录: hm-changed@apnic.net 20040927
数据来源: APNIC
联系人: Chinanet Hostmaster
联系人帐号: CH93-AP
电子邮件: anti-spam@ns.chinanet.cn.net
通信地址: No.31 ,jingrong street,beijing
通信地址: 100032
电话: +86-10-58501724
传真: +86-10-58501724
国家: CN
更改记录: lqing@chinatelecom.com.cn 20051212
维护方帐号: MAINT-CHINANET
数据来源: APNIC
联系人: zhiyong liu
联系人帐号: ZL48-AP
电子邮件: hpnut@mail.yn.cninfo.net
通信地址: 136 beijin roadkunmingchina
电话: +86-871-3360605
传真: +86-871-3360614
国家: CN
更改记录: hpnut@mail.yn.cninfo.net 20040426
维护方帐号: MAINT-CHINANET-YN
数据来源: APNIC
-----------------------------------
对 www.smallqqy.com 域名进行查询
Domain Name: SMALLQQY.COM
Registrar: HICHINA WEB SOLUTIONS (HONG KONG) LIMITED
Whois Server: grs.hichina.com
Referral URL: http://whois.hichina.com
Name Server: DNS.IHW.COM.CN
Name Server: DNS1.IHW.COM.CN
Status: ACTIVE
Updated Date: 28-mar-2006
Creation Date: 28-mar-2006
Expiration Date: 28-mar-2007
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Domain Name ………………… smallqqy.com
Name Server ………………… dns.ihw.com.cn
dns1.ihw.com.cn
Registrant ID ………………. hc194345924-cn
Registrant Name …………….. Keh Keivn
Registrant Organization ……… Beijing Unismedia Technology Co.
Registrant Address ………….. No.40, Fuwai St
Registrant City …………….. beijingshi
Registrant Province/State ……. beijing
Registrant Postal Code ………. 100037
Registrant Country Code ……… CN
Registrant Phone Number ……… +86.1065581565 -
Registrant Fax ……………… +86.1065581567 -
Registrant Email ……………. domainreg@help.com.cn
Administrative ID …………… hc194345924-cn
Administrative Name …………. Keh Keivn
Administrative Organization ….. Beijing Unismedia Technology Co.
Administrative Address ………. No.40, Fuwai St
Administrative City …………. beijingshi
Administrative Province/State … beijing
Administrative Postal Code …… 100037
Administrative Country Code ….. CN
Administrative Phone Number ….. +86.1065581565 -
Administrative Fax ………….. +86.1065581567 -
Administrative Email ………… domainreg@help.com.cn
Billing ID …………………. hichina001-cn
Billing Name ……………….. hichina
Billing Organization ………… HiChina Web Solutions Limited
Billing Address …………….. 3/F., HiChina Mansion
No.27 Gulouwai Avenue
Dongcheng District
Billing City ……………….. Beijing
Billing Province/State ………. Beijing
Billing Postal Code …………. 100011
Billing Country Code ………… CN
Billing Phone Number ………… +86.01064242299 -
Billing Fax ………………… +86.01064258796 -
Billing Email ………………. domainadm@hichina.com
Technical ID ……………….. hichina001-cn
Technical Name ……………… hichina
Technical Organization ………. HiChina Web Solutions Limited
Technical Address …………… 3/F., HiChina Mansion
No.27 Gulouwai Avenue
Dongcheng District
Technical City ……………… Beijing
Technical Province/State …….. Beijing
Technical Postal Code ……….. 100011
Technical Country Code ………. CN
Technical Phone Number ………. +86.01064242299 -
Technical Fax ………………. +86.01064258796 -
Technical Email …………….. domainadm@hichina.com
Expiration Date …………….. 2007-03-28 02:11:26
---------------------------------------
第九、结论
这台www.smallqqy.com的服务器是在昆明。而且是在昆明电信主干网络中。
经过测试和分析,我们发现,上述现象与使用何种浏览器无关(我们测试了各种流行的http客户端),与使用何种操作系统也无关。对出现该现象的IE浏览器进程进行了跟踪调试,没有发现任何异常。可以断定,并不是系统被安装了adware或者spyware。
那么剩下唯一的可能就是:有人在某个或某几个关键网络节点上安装了inject设备,劫持了HTTP会话
通过相关网络资料的查阅得知
分析数据包,可知劫持流程如下:
A、在某个骨干路由器的边上,躺着一台旁路的设备,监听所有流过的HTTP会话。这个设备按照某种规律,对于某些HTTP请求进行特殊处理。
B、当一个不幸的HTTP请求流过,这个设备根据该请求的seq和ack,把早已准备好的数据作为回应包,发送给客户端。这个过程是非常快的,我们的HTTP请求发出之后,仅过了0.008秒,就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。
C、因为seq和ack已经被伪造的回应用掉了,所以,真正的服务器端数据过来的时候,会被当作错误的报文而不被接受。
D、浏览器会根据<script LangUage='JavaScript'>try{var tmp=parent.window.location.href}catch(e){window.location.reload();}</script>
这一行,重新对你要访问的URL进行请求,这一次,得到了请求的真正页面,并且调用window.location.reload函数打开广告窗口。
绝不只是广告那么简单,今天是广告,明天就可能在你看门户网站的时候给你加个adware或者加个病毒进去,谁知道呢?我们的HTTP通信完全控制在别人手里。
最新评论