再分析大连联通机智的插广告方法

上次回顾：

/t/231079

新变化：

由 JS 判断何时插入广告，降低服务器负载
智能"白名单"，例如对于劫持态度强硬的 2345 不再插广告
换了个平台， Google AD 疑似被封了？

吐槽：

貌似插广告的也看 V2EX ？上次被人扒出来可以通过 ../ 查看上级目录文件就改了代码
这代码是接网线的写的么？同样的条件判断两次
服务器是被 D 了么？插广告就算了，还这么拖加载时间

图示：

如图所示，大量网站出现右下角广告，不过因为今天他们的服务器疑似"被 D"，没有加载出来，只能看到 "关闭" 按钮

源码

格式化后

思路分析：

由中间服务器进行第一次判断决定是否插入此脚本，目前尚不确定具体判断条件
若 isa2 (注： isAd2?)不存在，则 1000 毫秒后进行检测，在用户访问的网站不是 2345 首页或搜狗，继续
调用 checkshow()，生成一个随机数，范围在 0-100 之间；如果是搜狗，返回；如果是 2345 且随机数大于 20 ，不显示广告，剩下两个 hao123 、 360 导航相同，优酷详情页若随机数大于 50 ，不显示广告

截止此处，普通网页被插入广告几率为 20%，优酷被插入广告几率为 50%
这个网站是百度的一部分吗？是 > 5 ；不是 > 6
插入亿玛(亿告) 联盟广告
插入 Google AD 广告 (目前相关页面没有代码，疑似因为之前的投诉被封号？)

redsonic

2015-11-18 20:57:45 +08:00

把 js 全禁了，只把自己信任的域加入允许加载 js 的白名单即可，从此世界清静了。什么广告，用户数据分析，等等完全对用户无用的“废代码” 99%都会消失。缺点就是开始稍微麻烦点，部分网站排版有问题（其实只允许载入主站域名的 js 即可解决，其他的都是“无用的”）。也可以同时搭配 adblock ，最后就是形成一个个人精确定制化的“ adblock ”。 chrome 开 100 个 tab 也不会有压力。

KCheshireCat

2015-11-19 15:11:57 +08:00

看 LZ 帖子是用 iptables 来屏蔽广告地址

其实可以用 Wireshark 来观察 tcp 连接被劫持的情况

像移动的劫持都是抢答带 ACK ， FIN ， PSH 标志的 http 302 封包，把你的页面或者 JS 脚本劫持走。

而正常的 http 302 应答包通常并不会同时标记这 3 个标志位。

可以朝这个方向考虑，写成 iptables 规则就是

iptables -A FORWARD -p tcp -m tcp --sport 80 -m u32 --u32 "0>>22&60@10&25=25&&0>>22&60@9>>2&60@0=0x48545450&&0>>22&60@9>>2&60@8=0x20333032" -j DROP

虽然可能会有误杀，但是劫持是再也没看到过