lsdeng 发表于 2009-8-31 13:00:30

近期广州电信封杀路由器原理及对策 转载

近期广州电信封杀路由器原理及对策
整个过程是:你发出http请求,电信随机伪造一个数据包欺骗你的机器121.32.136.231就是你要访问的机器,然后发出一个数据包,终止你的机器与目的服务器的连接,接着你的机器在121.32.136.231上执行一段代码(base64编码),电信从中可以获取你的用户名、屏幕分辨率等资料,可以检查条件,符合某条件转到某个页面(广州电信ADSL会转到http://121.32.136.231/notice/notice.htm),符合另外一条件就将客户的请求发送到目的服务器重新建立正常的连接。
详细的过程可参考:http://www.csna.cn/viewthread.php?tid=3330
这跟以前让你免费看广告的原理差不多,不过以前没这么损,就是个弹出窗口,现在你打开的网页有大概三成会被欺骗到这台服务器检查cookie,若一段时间内一个IP存在多个cookie,那么就是你一机多拖,这个机制有时正常单机拨号的都会被杀,转向那个“中国电信温馨提示……”的页面,因为你刚上去的IP有可能是人家刚刚断下来的。
解决方法么,我提出以下几种方法:
一、如果你有极高的水平,可以把121.32.136.231这个服务器黑掉,可以搞瘫痪,也可以拿来查找梅森质数。搞瘫痪以后呢,广州用户就有大部分时间上网反应会很慢,这样10000号就会骂声淹没查找梅森质数的话,若不小心给你找到了,奖金有不少
二、对于一般朋友,可以用防火墙禁止121.32.136.231这个IP跟你机器的TCP通讯,最好是能让121.32.136.231发出握手信息后一直等……人多的时候,这服务器就挂掉了,有点像拒绝服务攻击,不过这是电信的服务器自作孽,不可活。然后呢……打10000号
三、如果你没有防火墙,那也不要紧,运行gpedit.msc,打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导.在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器.进入“筛选器属性”对话框,首先看到的是寻址,源地址选“一个特定的IP地址”,在IP地址中填写121.32.136.231,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“从此端口”下的文本框中输入“80”(也可以选择从任意端口,因为在上面的列表当中有个IP是到90端口的),然后在“到此端口”下的文本框中输入“80”(也可以选择到任意端口),点击“确定”按钮,这样就添加了一个屏蔽该IP的筛选器,它可以防止该IP的指定端口连上你的电脑的端口,见79楼
顺便说一下,二、三两种方法,有时打开网页会变成空白,刷新一下就好。
还有一种方法,不知道行不行,就是在路由器后面所有的机器的Internet选项-隐私-站点-拒绝121.32.136.231。见89楼

请朋友们把实验结果公开一下,欢迎提出批评意见及改进方法

2008年1月8更新
该服务器源文件如下:
<html>
<head>
</head>
<iframe src=”about:blank” width=”0″ height=”0″ frameborder=”0″ style=”display:none”></iframe>
<script language=”javascript”>
window.frames.location = “http://121.32.136.231/update/step1.aspx?p=” +
“(帐号)|” +
Math.floor((new Date()).getTime()/1000) + “|” + // 浏览器当前时间
navigator.appMinorVersion + “|” + // IE版本号、Firefox下返回undefined
screen.availHeight + “|” + // 高
screen.availWidth + “|” + // 宽
screen.colorDepth + “|” + // 浏览器颜色
screen.height + “|” + // 高
screen.width; // 宽
</script>
</body>
</html>

上面的程序一旦顺利运行,网站会返回一小段js代码
<script>window.setTimeout(”parent.location.reload(true)”, 2200);</script>
这时浏览器会被刷新,显示回正常的网页。
在进行这一步骤的同时,网站121.32.136.231,已经在浏览器上添加了ASP.NET的cookie,大概是session之类的吧,有效期是浏览器进程。
最后在某个时段通过类似的网页,再加入一个叫update的长期cookie。这时服务器只要匹配cookie,便可知道是不是同一个浏览器了,因为cookie只会对同一个浏览器起作用。
但是cookie本身只能被写入cookie的网站去读取,所以网页最终还得访问121.32.136.231才能进行匹配。
该服务器可能为一台Windows家族服务器,IIS版本貌似6.X,开放了21, 25, 80, 110, 119, 143, 443, 465, 563, 993, 995, 1080, 3128, 3389, 6000, 8000, 8080这些端口

附带上一篇来自中国网络分析论坛的文章《电信网页访问监控原理分析》
DXJKYL.rar
觉得本文对你有用的话,请帮忙让更多的人看到

lsdeng 发表于 2009-8-31 13:01:38

希望能高手能解决电信封路由问题   在此提供参考

47771885 发表于 2009-8-31 13:20:54

路过

WGHBOY 发表于 2009-8-31 15:19:42

解决不了的,别人技术不会长进呀,网络都是别人开发的,上次网络故障别人几个小时就解决了,你跟zf斗得过么

WGHBOY 发表于 2009-8-31 15:20:30

说不定你在这里发的贴别人都能看到

paldos 发表于 2009-8-31 18:08:45

以后所有的web都改https,可能就查不到了。嘿嘿

chenluocai 发表于 2009-8-31 18:16:57

路过..........

ly6653 发表于 2009-8-31 21:49:28

顶啊,现在正被电信搞的好累啊

LW2008 发表于 2009-9-2 00:45:06

和和,想像力蛮丰富的!
    分辨率都写上了!

hackwen 发表于 2009-10-21 12:34:10

网络尖兵是完全可以解决的。

cool525000 发表于 2009-10-21 13:48:41

广州的还有
61.140.99.11
125.88.128.233

广东猪三角还有很多城市已经弹出这些来探测,但暂时没做限制。

zsg10 发表于 2009-10-21 21:24:34

电信做限制,就不用他的,还有其他的选择不是吗

nmwhfx 发表于 2009-10-22 04:01:13

没办法啊,人家架设到网关,你怎么反抗都没用。

renzu 发表于 2009-10-22 16:44:22

只要想,办法还是有的
不知道用VPN能破解这种限制不?

blackqi 发表于 2010-3-3 23:20:54

VPN还是可以的,但也有不好的地方就是太多线合并的效果不太好!我这给借了好多黑吧,104729928 实话实说!
页: [1]
查看完整版本: 近期广州电信封杀路由器原理及对策 转载