Gamepad & WSN

iptables解决电信劫持购物网站

日期: 2015-05-09    作者: Gamepader    分类: Network    标签: , ,     评论: 2    超过0人围观

起因: 下午在家准备剁手, 突然发现打开某些B2C购物网站, 会自动跳转到p.yiqifa.com, 然后再带着小尾巴跳转回去, 不爽, 怒投诉, 和小白客服解释半天, 威胁ta直接按照我说的填投诉单即可. 后续有客服打电话来, 死活不承认是他们的问题,  一开始是怀疑浏览器插件,无果, 于是怒抓包, 发现确实是收到了包含javascript跳转指令的数据包:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
GET / HTTP/1.1
Accept: image/jpeg, application/x-ms-application, image/gif, application/xaml+xml, image/pjpeg, application/x-ms-xbap, */*
Referer: http://www.jd.com/?utm_source=jd.com
Accept-Language: zh-CN
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)
Accept-Encoding: gzip, deflate
Host: www.jd.com
DNT: 1
Connection: Keep-Alive

收到数据包:

HTTP/1.1 200 OK
Connection: close
Content-Type: text/html;charset=GBK
Content-Language: zh-CN
Server: CNGA
Cache-Control: no-cache
Content-Length: 212

<html>
<head>
<script language="javascript"> location.replace("http://p.yiqifa.com/n?k=2mLErntOWZLErI6H2mqXUOAwMKgHWEK7rnReWEwm1QLO6nUH2mqerI6HMn2S6OKe3EMH2L--&t=http://www.jd.com/") </script>
</head>
</html>

发现该伪造的响应存在一系列问题, 最明显的特征是TCP FLAGS为0x18.... 0000 0001 1000 = Flags: 0x018 (PSH, ACK), 想起iptables里面能匹配--tcp-flags, 于是准备在路由器上建立防火墙规则, 丢弃这个包含劫持信息的数据包:

1
2
iptables -A INPUT -p tcp --tcp-flags ALL PSH,ACK -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL PSH,ACK -j DROP

至此, 问题完全解决.

参考文献:
http://windtear.net/2009/10/iptables_drop_reset.html

本文链接:https://blog.gamepader.com/archives/2015/05/iptables-jie-jue-dian-xin-jie-chi-gou-wu-wang-zhan.html
本文分类:
>>
除特别标注,本站所有文章均为原创、转载请注明出处。

-- EOF -- ,Leave a msg~~ ^_^

2 Comments for iptables解决电信劫持购物网站

发表评论

loading...