V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wangluowangwang
V2EX  ›  宽带症候群

怎么抓那台推送广告的设备?

  •  
  •   wangluowangwang · 2015-11-30 10:36:12 +08:00 via Android · 3458 次点击
    这是一个创建于 3274 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http 劫持,网页劫持,或者弹出广告。随机性的,间隔时间长。

    抓包如何抓到那台推送设备的 IP ?现在只能抓取到广告服务器(广告联盟的, cdn 。。。),,而不是推送广告的设备。

    而且难度大,随机性的,一天就弹出那么几个。网页还不是固定的,随机性的,难度不是一般的大。。

    有什么办法可以抓取到推送广告的这台设备的 ip ?
    9 条回复    2015-12-07 00:35:06 +08:00
    virusdefender
        1
    virusdefender  
       2015-11-30 10:45:16 +08:00
    本地 wireshark 保存所有流量,然后慢慢分析。
    datocp
        2
    datocp  
       2015-11-30 10:58:01 +08:00 via Android
    已经习惯天天挂代理了根本不再见到推广页面,昨天手机刚 root 下 酷市场才发现被电信赤裸裸的换成应用宝,这要推个病毒来。。。。
    imlonghao
        3
    imlonghao  
       2015-11-30 11:09:29 +08:00 via Android
    @virusdefender 我抓过挟持 hao123 的,会用 iptables 把他干掉,但是设备的位置不会推测。
    yeyeye
        4
    yeyeye  
       2015-11-30 11:09:50 +08:00
    @datocp 论 https 的重要性。

    不得不说,频繁的劫持也是有助于大家都启用 https 的
    virusdefender
        5
    virusdefender  
       2015-11-30 11:20:00 +08:00
    virusdefender
        6
    virusdefender  
       2015-11-30 11:21:48 +08:00
    ttl 也可以大致的反查位置
    raysonx
        7
    raysonx  
       2015-11-30 12:32:57 +08:00
    1.凭我的经验,推送设备通常是个旁路设备,你根本不可能抓住推送设备的 IP ,更不用说它的 IP 可能只是个内网 IP 。
    2.即使抓住推送设备的 IP 也没用,因为它是伪装成你访问的目的机器工作的,换句话说,伪造的数据包的源 IP 是你访问的目标机器。
    3.如果推送机器伪造的数据包没有使用随机 TTL 的话,可以通过抓 TTL 大致推断它所处的位置。
    syslog
        8
    syslog  
       2015-12-03 12:54:38 +08:00
    无解,哪怕运营商自己要查也很困难? Netflow ?流量采集样本太大, TTL 反推?人家一个可变 TTL 就搞晕你了。有办法反查那也是运营商的人才有办法
    Cola90
        9
    Cola90  
       2015-12-07 00:35:06 +08:00
    ttl 由 1 递增发请求,如果递增到 x 的时候,开始有广告返回的话就能确定在那一跳出问题了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2942 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 13:30 · PVG 21:30 · LAX 05:30 · JFK 08:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.