麻烦帮忙分析一下wireshark抓的包

2013-09-24 18:03:26 +08:00
 Ansen
还是之前的http劫持问题
/t/79270#reply9
/t/81095#reply20

工信部投诉过后,电信方面一直跟我强调,从13年3月15日后,他们已经全方面停止了商业广告推送。
但是我这里上网还是被劫持

为了排除是系统的问题,我直接换成了linux
结果仍然被劫持
劫持视频:
jiechi.duapp.com

昨天晚上用wireshark抓包,但是不会分析。。

包地址:
http://pan.baidu.com/share/link?shareid=4279024039&uk=4129632760

说明:
0923 09232 这两个包 我用了 tcp dst 80规则,
09233 这个包,是我打开amazon被劫持过程中抓取的
8755 次点击
所在节点    Wireshark
38 条回复
Ansen
2013-09-24 21:41:24 +08:00
@yfdyh000
路由我都重置过了,不行我回去 换一个试试
cj1324
2013-09-24 21:43:53 +08:00
@Ansen 那个IP (203.81.17.246)是广告联盟的 用来进行中转
配合用来进行插入广告的IP(203.81.17.130)
900-950号 包 是加密通讯的 不清楚他对浏览器做了什么。
目前就看到他会发ajax请求 和加广告。
这2个IP 都是广告联盟的。
cj1324
2013-09-24 21:50:22 +08:00
@Ansen 不用114 DNS 就行了。 何必折腾。。 记得清除浏览器缓存 否则。。
Ansen
2013-09-24 21:52:52 +08:00
@cj1324
这两个IP是amzon的吧。 怎么会是广告联盟的。。

chen7897499
2013-09-24 21:54:23 +08:00
我也没看懂 我这里解析的www.amazon.cn的ip和这两个广告联盟的ip在同一个c段 而且通过http://www.114best.com/ip/做域名反查 这两个ip下域名也确实只有卓越亚马逊
cj1324
2013-09-24 22:03:04 +08:00
@Ansen 估计是一个不太正常的CDN, 真要确定问题。 只能弄清楚 900-950 被加密的包。里面到底是什么内容。为什么他会ajax请求 加广告。
yfdyh000
2013-09-24 22:05:30 +08:00
@cj1324 你确定?直接打开IP看看,明明就是亚马逊的服务器。
https://203.81.17.130/ https://203.81.17.246/
cj1324
2013-09-24 22:06:27 +08:00
@Ansen 如果JD 也有劫持的话 可以看看JD是怎么劫持的。 如果确实是JD自己的IP的话,那就有可能某些HTTP 请求被电信用加密的内容替换了。 进行一些非正常的js命令执行
Ansen
2013-09-24 22:08:31 +08:00
@cj1324
好 一会回去,我抓JD的包,什么一号店之类的也抓起
chen7897499
2013-09-24 22:13:05 +08:00
哎 流氓的运营商果然什么事情都可以做 我们这些用户真可怜
Ansen
2013-09-24 22:28:16 +08:00
@chen7897499
也是*内
cj1324
2013-09-24 23:09:27 +08:00
@Ansen 950号 包完整内容 是请求www.amazon.cn(203.81.17.130) 返回的 JS 大部分被压缩了

#发现写这个代码的哥们已经对你不错了。

很多广告 都被注释掉了.

https://gist.github.com/cj1324/6685905
Ansen
2013-09-24 23:16:05 +08:00
@cj1324

非常感谢。哥们你太用心了。。。 来成都 我请你吃饭。。。
cj1324
2013-09-24 23:33:24 +08:00
@Ansen 我刚才发的那些HTML 确实是amazon.cn官方提供的。

p.yiqifa.com 应该不是亚马逊主动访问的。 可能你的浏览器插件有问题 (插件会根据帐号进行,跨操作系统同步),换一个浏览器试试
cj1324
2013-09-24 23:55:01 +08:00
和你一样问题的人应该很多,大多数人没察觉。
这个网站在中国地区流量排行是208 名。

应该是一个非常大的组织。。
http://alexa.webmasterhome.cn/?url=yiqifa.com
Ansen
2013-09-25 00:44:52 +08:00
@cj1324
我是在chrome的隐身模式下抓的包,排除插件问题(隐身模式下默认禁用所有插件)
要不是我恰好做过这方面,对这方面比较敏感,有可能我也忽略了

已经添加jd和一号店的包
anheiyouxia
2013-09-25 16:33:13 +08:00
@Ansen 看你提供的视频,其实你那里还是夹在了proxy插件的,说明你没有禁用所有的插件
你最好还是进去确认一下全部禁用,或者是换个浏览器试试吧
多试几个才知道什么问题
Ansen
2013-09-25 16:49:09 +08:00
@anheiyouxia
好的,晚上试试firefox

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/83529

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX