深信服的 HTTP 劫持有办法解决嘛

This topic created in 3557 days ago, the information mentioned may be changed or developed.

目前可见特征就是会引用 http://1.1.1.2:89/cookie/flash.js 这个 js ，然后会设置个 cookie
ttl 固定为 127 ， HTTP FLAG 为 FIN,PSH,ACK
目前用 iptables -I FORWARD -p tcp --sport 80 -m ttl --ttl 127 -j DROP
过滤后，会出现 RST 的情况，这种是深信服向目标服务器发送了 RST 包么=。=

wireshark下可以看到正确的包，应该属于抢包行为，难道是因为我这个iptables命令太弱了的原因=。=

TTL

rst

信服

PSH

3 replies • 2018-09-23 18:21:56 +08:00

aabbaa2000

Sep 1, 2016 via Android

在 telnet 里手工输入 http 请求，就会发现不会被劫持，也能访问被深信服屏蔽的网站。因此我的方法是写个本地 http 代理，把每个请求拆开，先发第一个字节，然后发剩下的部分，就不会被劫持了。

ovear

Oct 23, 2016

记录下。。如果用 u32

iptables -I FORWARD -p tcp -m tcp --sport 8000 -m u32 --u32 "5&0xFF=0x7F:0x80" -j DROP
iptables -I FORWARD -p tcp -m tcp --sport 8000 -m u32 --u32 "5&0xFF=0x7F" -j DROP
参考
https://imlonghao.com/30.html

ech0x

Sep 23, 2018

是个老帖了，我想问一下是访问什么的时候会有劫持行为？登录页面吗？