By Jesson

无耻的ISP对用户进行TCP会话劫持

发表于 更新于 Valine:

去年装修的时候,住在亲戚家里。上网(使用中国移动宽带)的时候发现一个奇怪的现象,正常访问京东商城时,往往会自动的通过网站联盟进入。由于不是自己的电脑,加上情况不是很严重,所以也没多想,就以为是Chrome加载了某个恶意插件所为。简单的排查了一下,插件没啥问题,重装了Chrome以后,症状照旧。装修本身就很多事,也没时间去研究,所以这事也就不了了之。

在中国联通网上营业厅订购了一台土豪金,赠送了20M宽带两年。所以,新家几乎是没有选择的使用了联通的宽带接入服务。自从宽带装好以后,也发现类似的情况,而且每况愈下。一开始是一段时间跳一次,而且只有京东商城当当网。后来,慢慢的基本上常见的网上商城都会跳转到联盟网页了,不再是一段时间跳一次,而是每次打开都跳转。

随着新房入伙摆酒、宝贝出生、过年、拜年等事情基本忙完后,伪技术的我终于有时间静静的坐在电脑前。好好的给电脑号号脉,看看是谁那么不要脸,哪个家伙在这作恶多端,看我不去搬个救兵来收了你。

无耻的ISP对用户进行TCP会话劫持

通过详细的排查,Chrome没啥问题、系统没有问题,没有中毒,没有木马。一切都还是原来的速度,还是熟悉的界面。伟大的谢洛克·福尔摩斯说过:当其他可能都被排除之后,剩下的,即使再怎么不可思议,也一定是答案。。通过简单的抓包,很容易就抓到了这只“鬼”,原来是中国联通对我进行了“TCP会话劫持”。会话劫持劫持又称中间人攻击,来看看维基百科怎么说。

中间人攻击

中间人攻击 ( Man-in-the-middle attack,通常缩写为MITM )是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。在许多情况下这是很简单的(例如,在一个未加密的Wi-Fi 无线接入点的接受范围内的中间人攻击者,可以将自己作为一个中间人插入这个网络)。

如何通俗点的解释呢?

短信大家都知道,也发过,用它来比喻就很直接了。我发条短信给你,需要三个步骤。

  1. 我编辑短信,输入你的号码,按发送,短信发出,这叫上行。
  2. 手机和手机不是点对点通讯,必须经过基站,都还记得短信中心号码么?这个短信中心号码,就是承担着中转任务。所以我的短信其实是先到短信中心,短信中心根据收件地址再转出,这叫下行。
  3. 嘀嘀,嘀嘀。。你有一条新短信。对,你收到了我发给你的短信。

这个流程很容易理解,那中间人攻击也很明显。如果我给你的短信内容是“老板,今天赚了100块”,短信中心如果攻击你的话,很容易就把短信内容改成“老板,今天我亏了100块”。

都看明白中间人攻击了吧,那是相当的危险,短信中心可以通过拦截、窃听、伪造、更改……任意用户的任意短信。

反过来,中国联通进行的TCP会话劫持就是这个道理。所以,上网的时候,千万别以为没人知道你干了什么、说了什么、看了什么。任何时候,只要有数据流,一切都可以被拦截、窃听、伪造、更改。前文所出现的症状,其实就是被拦截和更改了计算机与计算机之间的数据。好啦!鬼找出来了,接下来就是去搬救兵。什么?怎么解决?准确来说,除了挂SSH和VPN以外,根本没有解决办法。你要发短信,就得通过短信中心号码。作为你的上层设备,通常情况下,你不可能绕的过去。

解决办法

临时解决办法,找出中间人攻击的网址,进行屏蔽。结果就是每次访问京东、亚马逊等网站,第一次都是该页无法显示,按F5再刷新一下就好了。这就是我第一个截图,为什么访问京东为什么该页无法显示。上饶联通合作的恶意网址是www.0634bbs.comwww.0410bbs.com ,通过路由器或我维护的hosts文件,屏蔽他们。
永久解决办法,我们只能通过一些方法,来阻止ISP作恶,我选择向工信部投诉。打电话给客服??算了吧,你得客服解释半天什么是会话劫持,什么症状,而且MM们还一脸的无辜。甚至,我有理由怀疑,这到底是联通的官方行为,还是底下技术员以权谋私。

投诉中国联通TCP会话劫持和中间人攻击

投诉内容

我家接入的是江西上饶联通宽带20M光纤,之前一直正常使用,近期在上网时发现被所访问的网站联通恶意劫持。具体的表现为:
受劫持的网站有如京东商城www.jd.com 、亚马逊www.amazon.cn 、易迅网www.yixun.com 、当当网www.dangdang.com ……等等,以下简称购物网站。
在打开这些购物网站时,联通进行了“TCP会话劫持”。将用户访问的网站强制劫持到联通指定的网址,使用户的每次购物都是通过上饶联通参加的“网站联盟”进入购物网站,以获取购物网站的返点。
强烈要求联通立即停止使用非法手段,恶意获取不当得利。在联通的网站上对用户道歉,并承诺今后不再使用“TCP会话劫持”等类似恶意方法攻击互联网用户。
本人是互联网相关专业的学生(骗人的),对联通所有行为都已截图并录相保存。
据刑法第二百八十六条和计算机安全保护条例,本人保留对联通公司的法律诉讼权利。

投诉能不能生效,我还不敢说,但是其码这是促进社会文明进步的努力。如果投诉成功,我会到亲戚家,把中国移动也投诉上。希望每个见到此文的朋友都记住,如果ISP作恶了,第一时间投诉,一次不行就两次,总要投诉到他们停止作恶为止。

用一句话结尾:天朝不违法,违法不天朝。

update:

2014-02-27 今天下午3点左右第一个电话联系我,接着就是第二个、第三个。市公司、县公司都分别联系了我。他们一致的肯定这事肯定不是联通干的,马上派技术员上门测试。4点半左右,市公司三位工作人员到达,自带电脑。排除完我系统的问题、电脑问题、路由器问题,他们自称技术也有限,表示不知道问题出在哪,保存截屏之后离开,承诺明天一定给出回复。5点左右,县联通公司回复说自己的员工技术不行,联系了一家专家电脑公司明天上门,我勒个去,您这是要上门帮我杀毒么?
2014-02-28 上午11:00时,经测试。再访问京东、亚马逊、易迅等购物网站,均不会再出现劫持的现象。问题是解决了,但是联通还欠我一个解释。
2014-02-29 互联网是一张匿名的网,你不知道对面坐的是人还是鬼。互联网是一张透明的网,不管你做了什么,都会留下痕迹的。今天我就扒一扒大概是谁搞的鬼。Whois信息很全啊:赵新华,内蒙古赤峰人,目前在北京,两个QQ分别是907632和85043184,MSN是[email protected]。赵哥人有一点胖,圆圆乎乎的,喜欢玩CF,会折腾Linux,但是善长Windows服务器,对Voip技术比较感兴趣。就职于北京九合创胜网络科技有限公司……呀,不扒了,再扒就过了。