请问如何写 iptables 规则来过滤运营商 HTTP 劫持？

坐标四川移动光纤， DNS 已经全局走 SS 过滤了移动运营商的 53 端口的 DNS 劫持。因为经常用国内网站，所以全局 SS 不现实。
目前存在的问题是京东、华为商城等网站有运营商 HTTP 劫持到返利链接，多次投诉工信部都没有效果，因此想求助大家写个 iptables 规则来过滤 HTTP 劫持，我放在 Openwrt 路由器上。

已经用 wireshark 抓取了两次劫持的过程，
京东劫持 https://www.cloudshark.org/captures/46d552c3e33b
华为商城 https://www.cloudshark.org/captures/aca094df243a

麻烦大家帮忙分析一下伪造的劫持包特征，帮我写个 iptables 规则，感谢大家！

对了，感谢 @KCheshireCat 的思路，可惜我不会写 iptables 规则，就放在这里一下：
[其实可以用 Wireshark 来观察 tcp 连接被劫持的情况
像移动的劫持都是抢答带 ACK ， FIN ， PSH 标志的 http 302 封包，把你的页面或者 JS 脚本劫持走。
而正常的 http 302 应答包通常并不会同时标记这 3 个标志位。
可以朝这个方向考虑，写成 iptables 规则就是
iptables -A FORWARD -p tcp -m tcp --sport 80 -m u32 --u32 "0>>22&60@10&25=25&&0>>22&60@9>>2&60@0=0x48545450&&0>>22&60@9>>2&60@8=0x20333032" -j DROP
虽然可能会有误杀，但是劫持是再也没看到过]
我试过这个规则，针对四川移动的劫持无效。

看了这篇文章，也是关于流量劫持的
https://security.tencent.com/index.php/blog/msg/81
我也想试试攻击源定位，但是不会用XCAP构造被侦听的数据包（也就是直接发出访问京东首页的HTTP请求TCP包，不需要三次握手）多次发送，如果有朋友懂的话，麻烦指导我一下，感谢！