之前就發現過家用電信也開始搞 HTTP 劫持了 而且範圍好像都是國外?
剛剛朋友在他杭州下沙機房(電信線路)的機器測試 結果也被劫持了
root@admin1:~# wget http://103.249.71.49/mini.zip
--2016-06-27 04:00:33-- http://103.249.71.49/mini.zip
Connecting to 103.249.71.49:80... failed: Connection timed out.
Retrying.
--2016-06-27 04:00:37-- (try: 2) http://103.249.71.49/mini.zip
Connecting to 103.249.71.49:80... failed: Connection timed out.
Retrying.
--2016-06-27 04:00:42-- (try: 3) http://103.249.71.49/mini.zip
Connecting to 103.249.71.49:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://101.96.10.61/103.249.71.49/mini.zip [following]
--2016-06-27 04:00:42-- http://101.96.10.61/103.249.71.49/mini.zip
Connecting to 101.96.10.61:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 98808345 (94M) [application/x-zip-compressed]
可以發現位於 101.96.10.0/23 這個段本來是內蒙古 ctyun 用的 現在被廣播到了 AS4812 去了 也就是上海 以基本上可以確定這 /23 內的緩存服務器是電信搞的
然後簡單測試了一下 似乎是任何 HTTP 資源都可以緩存 手動測試了一下 網頁都可以照樣緩存 有沒有其他的用法暫時沒測試
1
vibbow 2016-06-27 06:28:38 +08:00
LZ 的系统明明是简体中文的,为什么发出来的帖子是繁体中文的呢...
|
2
raysonx 2016-06-27 09:05:08 +08:00 via Android
好,顶,威武,支持,有希望了!
|
3
kozora 2016-06-27 09:12:37 +08:00
`wget http://103.249.71.49/mini.zip
--2016-06-27 09:12:37-- http://103.249.71.49/mini.zip Connecting to 103.249.71.49:80... connected. HTTP request sent, awaiting response... 302 Found Location: http://101.110.118.73/103.249.71.49/mini.zip [following] --2016-06-27 09:12:38-- http://101.110.118.73/103.249.71.49/mini.zip Connecting to 101.110.118.73:80... connected. HTTP request sent, awaiting response... 200 OK Length: 98808345 (94M) [application/x-zip-compressed] Saving to: ‘ mini.zip ’ 100%[====================================================================================================================================================================================================================================>] 98,808,345 1.05MB/s in 90s 2016-06-27 09:14:08 (1.05 MB/s) - ‘ mini.zip ’ saved [98808345/98808345] ` 还真是 |
4
zkd8907 2016-06-27 09:17:58 +08:00
这有啥,我们这还遇到过不同地区 CDN 服务器回源的时候 js 被插了脚本,结果导致其中一台 CDN 上的文件总是有运营商的劫持脚本。。。
|
5
dream7758521 2016-06-27 09:27:35 +08:00 via Android
@vibbow 就是
|
6
yexm0 2016-06-27 09:39:05 +08:00 via Android
good!这下子三大运营商都齐了。
|
8
Marfal 2016-06-27 10:16:02 +08:00
上海电信昨天刚遇到。
|
9
Marfal 2016-06-27 10:16:39 +08:00
普通家庭宽带,但是只遇到过一次,至于之后会不会有暂时不知道。
|
12
shuiyingwuhen 2016-06-27 13:49:00 +08:00
成都电信直接被劫持到 http://101.110.118.75/180.235.136.35/1G.bin
|
13
computerfan 2016-06-27 21:24:20 +08:00
有些人啊,技術問題沒能力解決,倒是對別人用什麼字體特別感興趣,揪著不放,你們就是這樣找存在感的嗎?
|
14
0078CE41 2016-06-28 03:10:10 +08:00
只是语气平和的问个问题,都能引来冷嘲热讽,心里阴暗整天带着负面眼光看人的家伙,没想到在 V 站也有啊
真是可怕,甚至让世界变得更糟糕了 |
15
Lentin 2016-06-28 11:36:18 +08:00
看起来这个缓存服务器的网速不错,收藏了
|
16
typcn 2016-06-28 16:54:28 +08:00
又一台免费 CDN (
|
17
typcn 2016-06-28 17:05:15 +08:00
我用联通 IP 访问,一样 302 了,这是机房搞的吧
|
20
fengxing 2016-06-28 21:09:04 +08:00
@typcn 17ce 上 get 测试全国不同运营商跳转是不一样的,也许你那里是特例,但是绝对不是机房搞得
这是地址,你可以自己看 http://www.17ce.com/site/http/201606_1a8d7a59e29a24c44e3ad2fd5b18ad99.html |
24
typcn 2016-06-28 21:44:44 +08:00
@fengxing
北京联通 -- 指向了联通的缓存服务器,服务器为 HRS/1.4.2 ,伪造包的 TTL 为 50 左右,正常包 TTL 为 100+ HTTP/1.0 302 Found Server: HRS/1.4.2 ... Location: http://120.52.73.8/103.249.71.49/mini.zip 广东电信 -- 指向了电信的缓存服务器,服务器为 HRS/1.4.2 ,伪造包的 TTL 为 50 左右,正常包 TTL 为 100+ HTTP/1.0 302 Found Server: HRS/1.4.2 ... Location: http://101.110.118.73/103.249.71.49/mini.zip 只接入了联通线路,但是某 IP 库中归属地为电信的服务器 -- 指向了电信的缓存服务器,服务器为 HRS/1.4.2 ,伪造包的 TTL 为 50 左右,正常包 TTL 为 100+ * HTTP 1.0, assume close after body < HTTP/1.0 302 Found < Server: HRS/1.4.2 ... < Location: http://101.96.8.141/103.249.71.49/mini.zip 您觉的这是运营商的劫持么? |
26
typcn 2016-06-28 22:01:03 +08:00
@raysonx 这是哪家运营商用纯真 IP 库根据你是联通还是电信,把你劫持到不同运营商的缓存服务器上去?
IP 库里的错误都能重现 |
30
raysonx 2016-06-28 22:10:33 +08:00 via iPad
@typcn 我同时有电信和联通的光纤,也有美国日本韩国的 vps ,自己的 vps 都会被劫持还能不知道?
|
31
raysonx 2016-06-28 22:13:43 +08:00 via iPad
@typcn 至于你说的只接入了联通线路那个,你可以试试在两端互相做路由追踪看一看经过了哪家运营商的国际出口
|
32
typcn 2016-06-28 22:20:55 +08:00
|
34
typcn 2016-06-28 22:27:02 +08:00
|
36
fengxing 2016-06-28 22:29:38 +08:00
|
37
yexm0 2016-06-28 23:22:28 +08:00
|
39
lslqtz 2016-06-29 21:55:14 +08:00
感谢,又有新的缓存服务器可以用了,我去我贴更新 AppEnd 。
|
41
akw2312 OP @shuiyingwuhen 你這個劫持之後的緩存服務器的 ip 根本沒有廣播啊...
服務器在廣州 看來是只有電信大內網能連上 233 ![55U$7`H9ZO`Q]XX]TUX}UPL.png]( https://ooo.0o0.ooo/2016/06/29/57745df281d98.png) 另外 101.110.118.x 這個以前也是分給 ctyun 的 IP 所以也是電信官方所做的 @typcn ty 你那個"联通线路,但是某 IP 库中归属地为电信的服务器" 能在 TG 給我一下 IP 麼 我看下 話說如果純真寫的是電信 那通常那個 IP 的確是電信的 反正國內很喜歡玩 IP 廣播在電信 但是透過 static bgp 啥的接入其他線路的 你在 AS 只會看到電信但其實有其他線。 |
42
ghostja 2016-06-30 09:04:53 +08:00
应该算是部分好事吧。加快了部分国外网站的访问速度
|
43
firexp 2016-07-14 08:35:41 +08:00 via iPhone
mark
|
44
BD7JHH 2016-07-27 06:07:27 +08:00
其实这个可以说是恶意劫持了. 比 DNS / 直接 RESET 什么的, 高端多了. 因为...这样其实可以完全在缓存服务器内直接修改内容后再返回, 比如普通的 http 明文信息, 你看到有 1000 积分, 经过缓存服务器就直接改成 2000 积分, 或者 0 积分.
|
45
BD7JHH 2016-07-27 06:15:17 +08:00
另外, 暂时目测, 好像是直接 IP 地址访问, 才会缓存, 带域名的不会缓存. 有谁试出来通过域名访问都缓存了吗?
这样会缓存 http://116.251.211.xxx/xxx.zip 这样不会缓存 http://www.xxxxxxx.com/xxx.zip |