V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sxm
V2EX  ›  DNS

现在江西电信 DNS 劫持真是越来越无底线

  •  5
     
  •   sxm · 2016-06-12 17:49:42 +08:00 · 20628 次点击
    这是一个创建于 3090 天前的主题,其中的信息可能已经有所发展或是发生改变。
    对于电信 DNS 劫持我是见怪不怪了,但没想到的是居然这么没底线投涉黄,诱导,下载 apk 类广告。本来我也不用电信 DNS ,一直都用 4 个 8 ,但延迟太高了,所以除本机外家里路由器里设置的是江西电信 DNS 。把那些电信 push 广告 ip 屏蔽后也就没什么问题。

    直到 6 月 1 日凌晨,睡前用手机 uc 再逛逛。输入熟悉的网址后居然弹出个低俗暗示,恶意广告页面,还弹出 apk 下载。一想莫不是输错,细看果然是输错网址了。到这一步了我想不会是被电信劫持了吧,果断又编了个错误域名访问“ fuck.youjxdx ”,又弹出相同的恶意页面。但半夜了还是觉得明天再在 PC 上测试下就知道了。

    下午开机先设置 dns 为江西电信 dns ,然后在 chrome 里访问错误域名。返回的居然是个百度搜索导航类的页面,呵呵,“三观挺正的”。然后 chrome 内开启 mobile 调试,额。。。这页面结果好羞涩啊,还弹出 apk 下载, apk 的名字也有意思啊,什么“原 qvod.apk ”,“激情电影播放器”。。。本着追根溯源的原则,用 nslookup 看下了,域名错误的情况下, 202.101.224.69 和 202.101.226.68 这 2 个江西电信主辅 DNS 的返回结果是 61.131.208.211 或 61.131.208.210 。

    我便又依次将 DNS 更改为 114 , google ,深圳,湖南电信 DNS 等测试了下,发现没有以上劫持问题。为了证明不是个人网络问题,在在线 DNS 查询页面查询了针对江西电信 DNS 的错误域名查询,返回结果一致,果然这事实是毋庸置疑的。

    接着查看那个劫持后页面 html ,里面有 2 个 iframe 组成,一个为 58cv.com,另一个为隐藏的 iframe ,页面地址为 61.131.20.211/cs.html 。 58cv.com 这个页面在 pc 端为百度搜索导航类广告,在移动端为“哇哈”类似一个小段子消息页面。而那个隐藏 iframe 里表面上看是站长统计,细看 html ,发现里面有这 2 行广告 js :“ click.gutun.net/s.php?id=45 ”“ click.gutun.net/s.php?id=46 ”,访问后发现 document 输出为空,看样子是针对移动端设备的,开启移动模拟广告 js 代码就出来了。。


    接下来就是去看 58cv 和电信是什么关系了,查看 whois 和 icp 备案得知归一家叫“北京麦酷信息技术有限公司”所有,查看公司网站,具体的公司地址联系全无,所做业务全是依托电信相关的。又搜索了下,发现该公司有一条在智联招聘上的招聘信息,公司地址出来了:“江西省南昌市高新二路高新创业大厦”。


    至此江西电信 DNS 劫持错误域名到广告的流程已经清晰明了了,以下是投诉纪实。

    接下来怎么办呢,如果我个人的话问题很好解决,不用你江西电信的 DNS 就是了。但这尼玛吃相太难看了,也不考虑考虑祖国的花朵就这样被你们的广告所腐蚀。。。想到这一点,顿时感到胸前的红领巾更鲜艳了,肩上的五道杠在闪闪发光,手不由自主的打开电信 189 网站投诉页面,写下了了以上分析的简述。

    电信 189 投诉效率还挺高的,当天晚上 18979177165 打来电话,说这是合作公司的业务,他会向对方反馈。第二天 10000 打来电话也是说向对方反映。可是过了两天我再测试了下发现问题依旧,果然主管人员觉悟不高,没有发现问题的严重性。我来到工信部网站投诉下,又过了两天,傍晚 01012300 发来短信说:您提交的材料已收悉,但是你名字没写全所以本次不受理,但将材料转交电信。

    8 号 10000 打来电话说,我们这里测试没发现问题啊,手机访问只是会打开一个笑话网站(说明还是劫持了)不是什么色情,涉黄之类的恶意广告页面。然后问我是否需要让他们的工作人员过来测试下线路,我说要么我再测试下看看。下午发现恶意广告没了,想了想不对,怎么就没了呢,难道我“冤枉”他了。再次查看页面 html ,发现上文说的那个隐藏 iframe 的 cs.html 页面被替换为 statics.html 。查看源文件,果然 click.gutun.net/s.php?id=46 的广告 js 被删掉了,而且那个原 cs.html 也删除了。呵呵果然做贼心虚,既然这样就有测试下劫持问题,发现问题依旧,只是把那个恶意广告删了。

    继续在 189 上投诉,傍晚接到一个一线装维人员的电话,问我的宽带有什么问题。顿时我对电信真是火冒三丈,投诉里都写的一清二楚的,你们的工程师应该知道的,现在推到装维人员这里来,和他们怎么说的清。既然这样,你就上门来看吧。过了会儿, 2 个装维人员过来了,给他们看 nslookup ,不看,一个说这是 ping 没用,哎果然和我预想的一样,这简直就是对牛弹琴。那就看最直接的,访问不存在网站,然后返回的是百度导航之类页面,让他们看。他们又在自带的笔记本上也试了下,说是有这个问题,然后他们就回去了。

    第二天下午 10000 打来电话说问题的解答已下发到手机,我说好。挂了电话一看短信:“社区经理已上门检测用户线路正常,用户只要输错网址就会弹出百度页面,在其他电脑测试也是一样”,这是回复吗,我读书少你不要骗我。这尼玛是装维对上级反馈的信息好嘛,难道你的意思是大家都在吃屎,你就不要挑肥拣瘦了。

    下午又到 http://61.129.250.80/workorder-web/189_menhu.jsp 电信集团投诉页面上投诉,然后今天下午由接到一个 10000 电话,对于恶意广告还是不承认,至于广告页面针对移动设备而现实哇哈的问题,说不对移动设备负责,只对电脑负责,巴拉巴拉了半个小时还是无果,真是鸡同鸭讲。。。

    好吧今天写到这了,明天我再到工信部网站投诉下。
    第 1 条附言  ·  2016-06-13 14:35:04 +08:00
    2016-6-13 更新:
    正如我昨天所说,准备今天到工信部再次投诉。投诉前我又测试了下,浏览器上错误网址一直在加载然后超时,然后进 nslookup 看了下,返回劫持依旧,只是浏览器上打不开了。看样子估计有可能是针对我这个账号屏蔽了那个劫持后的广告 ip ,为了验证这个猜测,用在线网站测速对劫持后返回的 ip 进行测速,发现网站没问题可以打开,然后本地 tracert 跟踪了下,发现到了这个 117.41.250.182 之后就跟丢了, ping 也不通。手机开启移动数据流量,访问那个 ip ,结果一如既往那个熟悉的哇哈页面,果然针对我这个账号屏蔽个那个 ip 。

    有使用江西电信的朋友,可以自己测试下
    42 条回复    2016-07-29 13:10:27 +08:00
    z416177937
        1
    z416177937  
       2016-06-12 18:18:53 +08:00
    给个大赞,就要这样,运营商现在太过了,垄断不干事,等国家放开这个,你还就去 si 吧。带宽会变大,价格会下降~
    owt5008137
        2
    owt5008137  
       2016-06-12 18:43:45 +08:00 via Android
    赞一个,这种劫持是要整治一下,不然太过分了
    SoupNeverHot
        3
    SoupNeverHot  
       2016-06-12 18:52:50 +08:00
    我在路由器里设置的阿里 DNS 和腾讯 DNS 。
    15 年底,在工信部投诉河北联通的 DNS 劫持。免了两年宽带费。
    但是……如果路由器里不设置 DNS ,还是劫持。
    157003892
        4
    157003892  
       2016-06-12 19:34:05 +08:00 via iPhone
    垄断行业公司的强权,小宽带又太渣,只有默默地改 DNS 用
    jasontse
        5
    jasontse  
       2016-06-12 20:04:32 +08:00 via iPad
    江西电信有 4 组 DNS
    202.101.224.68
    202.101.224.69
    202.101.226.68
    202.101.226.69
    其中 224 在南昌, 226 在九江,九江在江西电信建网初期也是个省级出口节点。
    rocknjoekudo
        6
    rocknjoekudo  
       2016-06-12 20:14:16 +08:00
    现在真正意义上的 DNS 劫持已经很少了,直接针对非加密协议进行替换(某炮的雏形)。全国各地这种 ISP 级别的广告业务都是包给了关系户,所以某种意义上 ISP 对这些关系户的业务本身无法直接操作。现在内部的广告投放业务已经混乱到一定程度了,有的时候就算是找到宫信步也不一定 100%解决问题。
    百度和阿里在流量大站上 https 的一个很重要原因就是为了维护自己的广告流量,要不时间长全是这些关系户的了。
    当然了,现在还有针对 IDC 级别的流量劫持,到时候投诉 ISP 都没用。
    aalska
        7
    aalska  
       2016-06-12 20:25:06 +08:00
    @SoupNeverHot 免了两年。。。。
    jimzhong
        8
    jimzhong  
       2016-06-12 20:27:00 +08:00
    我之前也投诉过福建电信劫持 apk 下载的。也是把工单推给外线工,不承认有劫持。
    fashioncj
        9
    fashioncj  
       2016-06-12 21:09:36 +08:00
    然而并没有用,把确切的抓包信息发给移动工作人员,最后还是不承认劫持。。我也是醉了
    Oi0Ydz26h9NkGCIz
        10
    Oi0Ydz26h9NkGCIz  
       2016-06-12 21:36:04 +08:00
    想到这一点,顿时感到胸前的红领巾更鲜艳了,肩上的五道杠在闪闪发光……
    楼主是奥特曼转世。。。
    是不是 http 劫持呢?
    daolin
        11
    daolin  
       2016-06-12 21:47:49 +08:00 via iPhone
    同江西电信 天天弹广告…无力吐槽
    autocar23
        12
    autocar23  
       2016-06-12 21:51:44 +08:00
    支持肛运营商
    marvinwilliam
        13
    marvinwilliam  
       2016-06-12 22:21:42 +08:00
    好巧,杭州也是,在我们使用 https 之前,劫持后注入了那种广告...你懂的....有客户截图过来过...
    richzhu
        14
    richzhu  
       2016-06-13 00:04:09 +08:00 via iPhone
    用百度的吧,暂时木有发现什么劫持
    zhaojjxvi
        15
    zhaojjxvi  
       2016-06-13 01:10:23 +08:00 via iPhone
    端午回鹰潭岳父家过节,五一给配的电脑,问我网络怎么了,有时候半夜不关下载东西,会跳出本地招嫖的信息,哎我去。。。
    mrhuiyu
        16
    mrhuiyu  
       2016-06-13 08:09:09 +08:00
    @zhaojjxvi 哈哈哈哈哈哈
    zhaojjxvi
        17
    zhaojjxvi  
       2016-06-13 08:18:34 +08:00 via iPhone
    @mrhuiyu 当时想分析分析这个页面到底什么情况的,妈的想想女婿在岳父家上招嫖网站的画面要是被人看到了,我以后还能不能回去了?
    billwang
        18
    billwang  
       2016-06-13 08:22:24 +08:00
    就需要这样认真的人,支持楼主。
    icsoc
        19
    icsoc  
       2016-06-13 08:51:06 +08:00
    赞认真严肃对待生活的人
    duluosheng
        20
    duluosheng  
       2016-06-13 09:13:58 +08:00
    推荐楼主使用 Pcap_DNSProxy ,可以有效防止 dns 污染和劫持
    https://github.com/chengr28/Pcap_DNSProxy/tree/Release
    Canrz
        21
    Canrz  
       2016-06-13 10:53:50 +08:00
    大赞,我是没有这样认真执着的心
    yjd
        22
    yjd  
       2016-06-13 11:16:51 +08:00
    @duluosheng 他自己当然有能力解决。主要是想到身边一堆小白。 lz 雷锋啊
    sxm
        23
    sxm  
    OP
       2016-06-13 14:37:32 +08:00
    @yjd 最后的结果是小白还是需要自己去解决,电信居然想到了这个解决方法,也是服了
    sxm
        24
    sxm  
    OP
       2016-06-13 14:39:08 +08:00
    @zhaojjxvi 哈哈
    z742364692
        25
    z742364692  
       2016-06-13 14:44:54 +08:00
    怎么感觉四川的坏境好棒,从来没遇到过劫持,三大 isp 都没有
    qzr
        26
    qzr  
       2016-06-13 15:00:06 +08:00
    我江西南昌电信也有同样的问题,一样的形式。暑假投诉过一次,没有反应,对方总说是本地电脑“中毒了“等等搪塞。开学后就去学校了,没有能坚持斗争到底。现在父母在家换用广电的宽带,便宜不少,质量还过得去。
    doyel
        27
    doyel  
       2016-06-13 15:16:37 +08:00
    看来上海电信给劫持到 2345 和 hao123 还有搜狗算是比较正派的了。。。。
    ibugeek
        28
    ibugeek  
       2016-06-13 16:02:06 +08:00
    之前也是挟持,直接工信部投诉,我都懒得和她解释,直接说转技术部讨论技术,不然就帮我解决这个问题,态度十分强硬,否则就一直投诉。后面就帮我改了。
    hythyt9898
        29
    hythyt9898  
       2016-06-13 16:15:10 +08:00
    现在的吃相太难看了,去年一堆互联网公司集体投诉流量劫持,还是不了了之。
    zlylong
        30
    zlylong  
       2016-06-13 16:16:51 +08:00
    现在是 http 劫持。。。 JD 的 app 劫持的很厉害,上海电信。
    xxhjkl
        31
    xxhjkl  
       2016-06-13 16:55:59 +08:00
    浙江已经启用 http 劫持了 dns 太 low 了
    官方说法是 给你推送的 投诉可以把你从推送列表移出去
    ihuzhou
        32
    ihuzhou  
       2016-06-13 17:29:31 +08:00
    我能说半年前我的百度都被劫持了么,虽然现在不用了
    flyz
        33
    flyz  
       2016-06-13 18:13:24 +08:00
    @z742364692 四川联通过来打你脸, http 劫持,恶心的一笔,投诉几个网站,就撤销几个,不投诉,就继续。
    surefire
        34
    surefire  
       2016-06-13 19:10:53 +08:00
    过程要拍照留念。。。
    alexapollo
        35
    alexapollo  
       2016-06-13 19:46:20 +08:00
    果断送出感谢
    Peanut666
        36
    Peanut666  
       2016-06-13 21:14:54 +08:00
    @z742364692 四川移动过来打你脸,京东、唯品会、百度都有 http 劫持,强行跳转返利页面
    lqzhgood
        37
    lqzhgood  
       2016-06-13 21:15:02 +08:00
    我这都是 HTTP 劫持。 而且所有其他的 DNS 服务器全部无法访问
    上次投诉也是运维的人 讲半天对面也不知道什么。。。
    然后来了个机房的 也是搞不清。 说他们也不清楚 也没权限 只能往上反映 没了。。
    我觉得投诉最麻烦的就是 没法快速和对面说清楚 HTTP 劫持是什麽……
    z742364692
        38
    z742364692  
       2016-06-14 00:44:01 +08:00 via Android
    @flyz 看我前两天发的,感觉还挺良心的,可能是我不仔细把,没看到
    @Peanut666 移动的除了 ip 有点飘还没啥大毛病,当然,也可能是我没发现
    baoguok
        39
    baoguok  
       2016-06-14 10:00:37 +08:00
    投诉吧,部分地区的运营商没底线的
    flowfire
        40
    flowfire  
       2016-06-14 13:17:25 +08:00
    报警说电信运营商涉黄会怎么样
    xtddd
        41
    xtddd  
       2016-06-15 20:01:22 +08:00
    @duluosheng Pcap_DNSProxy 中 Alternate Multi Request 设置成 1, Local Main 也设置成 1, 路由表识别可以不开吧
    Mayer
        42
    Mayer  
       2016-07-29 13:10:27 +08:00
    建网初期确实九江是省级出口节点 现在不知道为啥好多线路跟踪之后都会从南昌绕一圈再出去 延时高了一圈 同江西电信
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1445 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 17:18 · PVG 01:18 · LAX 09:18 · JFK 12:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.