 |
| 主题 : 广州ADSL用户被恶意拦截-电信获取路由内网主机数的手段之一 |
|
|< [1] � [2] � >|�
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-08-12 10:27:06
|
 "广州ADSL用户被恶意拦截-电信获取路由内网主机数的手段之一"
我是广州电信天河区的ADSL用户,7月11日我发表了对电信可能恶意对网页拦截的猜想,今天回家后做了个测试果然验证了我的想法。
从某些渠道获知,电信采取对ADSL用户内网主机个数的检测,根本不是通过什么SNMP协议等方法,而通过修改MAC地址的方法来防止检测也是一个很荒谬的流言。目前主要的检测方法有cookie 与ipid二种方法。 这二种方法是让用户防不胜防的方法。
而采取cookie的方法目前来说网页劫持比较多,这样做的同时除了可以获取到主机的个数,而且可以像广州有线电视无耻的插广告的方式,来插入垃圾网页强制要求用户浏览。
接下来就开始说明一下广州电信是如何拦截用户的网页浏览的。
测试的环境: 浏览器ie 6.0 抓包工具: sniffer pro 4.7 adsl路由上网
测试步骤:重新拨号,用浏览器打开www.google.com网页,同时运行抓包工具分析整个访问流程。
如果是正常的网页访问想必大家都知道就2个步骤:
步骤1:客户端向服务器发出访问请求
步骤2:服务器向客户端发回网页数据
但是在这次抓包过程中,却发现整个访问的步骤多了很多大体步骤如下:
步骤1:客户端向google服务器发访问请求(google服务器的IP为64.233.189.104)
步骤2:怪事来了! google服务器竟然发过来一个命令要求
客户端带着某种参数去访问IP地址为59.42.71.199的服务器。
步骤3:于是客户端向IP 为59.42.71.199的服务器发出带参数的访问请求,
步骤4:IP为59.42.71.199的服务器返回数据给客户端(返回的数据包含2个功能,一个是在 客户端设置了一个cookie文件,一个是让客户端重新访问www.google.com)
步骤5:于是客户端又傻忽忽的去访问google服务器;
步骤6:google服务器给客户端返回正常的网页数据。
经过查询59.42.71.199的IP是广州电信的ip ,而且该主机我也扫描过了,是一台windows2003+II6的服务器,服务器名是gz- web(我想一般人是不会用这个机器名的吧。),而且本人的主机到该服务器只需要10跳,和202.96.128.68广州的域名服务器的跳数一样,那么是不是电信的搞的服务器,呵呵。。。。。我就不多说了。
以上不难看出我们在访问google的时候,出现了异常,其中关键在那里呢,就在步骤2!,当我们正常的去访问某个网站的时候(比如google),这时候,电信拦截了这个客户端的访问请求,并伪造出了这个网站给客户端的返回数据,欺骗客户端去访问电信指定的一个垃圾或恶意的网站,在客户端访问网站的同时给在客户端上生成相当于验证码的cookie,从而获取用户信息或其他不可告人的目的,当他们目的达到后,又欺骗客户去重新访问正常的网站并不再搞拦截欺骗。
那么通过cookie来获取内网主机个数的原理是什么的,这个就我个人看法是,要求通过对内网所有的用户的网页劫持,强制要求所有用户去访问某个恶意的网站,并生成cookie种到用户的
主机内。而每个cookie的内容在每台主机都是不一样的,这样如果在某个时间段内,有相同的ip,但是有5个不同的cookie来访问过这个恶的网站,那么马上就可以分析出该ip内至少有5台主机。
但是这里我们需要注意的几个方面是:
一,电信不会拦截所有的网站,主要对大家经常使用的网站进行拦截欺骗,
二,电信也不会一直对某个用户进行拦截,一般是用户拨号上网后,第一次访问网页时进行拦截,以后不定期的或周期性的对客户进行拦截。
三,个人信息隐私问题,再在这里用户访问网页所有的动作,电信全部可以记录下来。
相必我们都记得索尼就曾经在光盘中加入防止盗版的信息,遭遇了巨额赔款。中国电信的此举显然也是严重侵犯了用户的隐私,若遭遇网民的集体诉讼............................... 反正我是不太看好!。
这个就是关键的第二步
******************内容*************************
<br />
********************************************************
大家请注意“ width=0 height=0 style="display:none; width:0px; height:0px” 这个东西,也就是说大家访问新的网站打开的新窗口的长宽都是 0! 也就是是说新打开的窗口 我们是看不到的!
这是第4步骤:目的是设置cookie,并让客户端重新访问原网站。
******************内容*****************
HTTP/1.1 200 OK
Date: Tue, 18 Jul 2006 12:38:14 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Set-Cookie: ASP.NET_SessionId=bz1XXXXXXXXX; path=/
Set-Cookie: ExpCookieTicket2005=K6XXX...XXXXkg==;
****在这里给客户设置cookie****
expires=Fri, 28-Jul-2006 12:38:14 GMT; path=/
Cache-Control: private
Expires: Mon, 17 Jul 2006 12:38:14 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 246
***************************************
Johnny 在 2006-08-12 10:39:16 最后一次编辑此帖
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-08-12 10:43:32
|
"Re:广州ADSL用户被恶意拦截-电信获取路由内网主机数的手段之一"
通过某种渠道,我的猜想已经被证实是正确的,目前几大网络共享检测的产品厂家,大多使用的检测手段是cookie方式和 IPID号方式来检测的, 此外还有其他不同的检测手段.详细的情况有空的时候我会写出来的.
从上周开始,当我打开网页时,会不定周期的弹出一个网页,
网址是:
http://61.145.113.17/bora......pbGUtdWlkLTg4MzQuaHRtbA==
网页画面是:
起初我还以为我的机子中毒或者中流氓插件了,就好象是在访问某些网页时,会跳出很多其它的窗口,什么黄色网站之类,这种是这样的吗?
但是经过个人用卡吧,NOD32,hijackthis,冰刃等工具,仔细检查,发现没有什么异状,于是突然想到可能是被电信把网页劫持了。
在之之前我就在网上看到相关的报道,可以通过google或baidu搜索到,感兴趣的可以访问:
电信级的网络弹出广告
http://www.williamlong.info/archives/335.html
获取了电信恶意弹出广告的罪证
http://www.williamlong.info/archives/369.html
河南网通添加弹出广告
http://www.17fei8.com/post/111.html
而且在本论坛内也有人出现了这样的问题:
连广州的ADSL终于都,可怕的事情来临了……
http://itbbs.pconline.com......p?tid=3029795&topicPage=1
以上说了这么多,只是谈到了电信是如何欺骗用户,在用户的主机上自动弹出网页窗口的,但是这和查路由有什么关系呢?
这里就要提到一个关键的问题那就是cookie,所谓Cookie,只是一条极为短小的信息,它能够被网站自动地放置在一台电脑的硬盘中。通过Cookie,网站可以识别你是第一次访问,或是又一次访问它。网站还可以利用Cookie了解你对哪些内容感兴趣,收集与用户有关的信息,例如邮政区号、计算机芯片的类型以及其他信息。
所以这样电信通过对用户的网页劫持一个能弹出广告获得经济上的利益,再一个呢,通过该技术强迫用户浏览某个网页,而通过COOKIE技术获得用户信息,从而可以判断出一个用户在网内有多少台主机访问了网页。(注:这种强迫用户浏览某个网页,不一定能被用户看到,它完全可以在后台进行,对用户来说完全是隐藏的!)
以上仅仅是本人的一些看法与猜想,抛砖引玉希望大家提出更多的意见与看法。
以下是我在 CSNA网络分析论坛 看到的一个帖子
[安全分析] 电信网页访问监控原理分析!
http://www.csna.cn/viewthread.php?tid=68
主要讲了作者通过协议分析软件发现了电信的猫腻,全文很长,而且插图要注册后才可以看到,感兴趣的可以去看看。
主要内容:
作者的一个在电信上班的朋友经常说,他们有办法知道一个NAT网关内部的电脑主机数,而且能够记录里面任何人的上网记录,听得我是心痒痒的,可问他方法,他又死活不说,郁闷。今天比较闲,脑袋里又想起了这事,想来想去,认为电信很可能采用欺骗客户端的方法,让客户端的信息首先发到监控主机,然后再发到目标服务器。
1.客户端主机(192.168.0.88)向www.colasoft.com发起正常的访问网页请求。
2.监控服务器(这里是220.167.29.102,不同地方该服务器可能不同)就立刻向客户端发起一个伪造数据包,这个数据包的源地址被伪造成客户端请求的服务器地址,同时该数据包的内容是预先设定好的。
3.客户端主机在收到该数据包后,以为是服务器端返回的,于是它根据收到的伪造数据包的要求,主动向220.167.29.102发起连接,并向220.167.29.102传输一些客户端的私人敏感信息,如客户端的拨号用户名、访问的网址、NAT内网主机数等信息。
4.220.167.29.102再次将访问重定向的指令发给192.168.0.88。
5.客户端根据第4步中收到的指令,再次向www.colasoft.com发起正常的访问网页请求。
6.www.coalsoft.com将客户端请求的页面传给客户端(192.168.0.88),让客户端成功完成网页访问。
以上便是电信网页访问监控原理的简单分析过程,注意实验的环境是内部通过NAT方式,并使用ADSL拨号上网,对于其它的连接方式以及其它的ISP接入,由于没有相应的环境,并未进行测试。
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-08-12 10:46:02
|
"电信级的网络弹出广告"
我是用中国电信的ADSL上网的,一直碰到一个奇怪的现象:我自己的网站并没有弹出广告代码,但是我浏览自己的网站时候,偶尔会弹出一个类似“绿色上网”等的广告窗口。我查看我网页的源代码,没有弹出广告代码,再刷新网站,又没有广告弹出了。
上网搜索了一下,发现不少人也遇到这种情况,这种广告非常隐蔽,一般人不会注意到,只是以为该网站有弹出广告。而实际上网站并没有弹出广告。该广告的地址是以http://pbvertisegreen.139.com/push/开头的,一般是深圳电信自己的垃圾广告,投放隐蔽,且没有成本。
这种广告实际上是电信局在电信级网关路由器上安放的,我分析其原理如下:用户刚拨号上网的时候,访问的第一个网站时,电信局在这个网站的HTTP包中增加一段弹出代码,弹出广告后再自动转移到正式的网站,弹出广告会写本地COOKIE一个日期,通过对比时间来控制不反复弹出广告。弹出广告也有一定随机性,不是每次都弹出。
这种广告手段是很卑劣的,并且也是违法的。电信局肯定也知道这一点,因此这种广告投放的非常隐蔽:浏览一个网站的时候才弹出,让别人误以为是这个网站的广告;并不是每次都弹出,而且弹出也没有什么规律性,以免引起用户注意;弹出代码使用技术进行隐藏,让别人找不到证据。
这样的广告方式据说不少ISP都采用,我想大多数上网者都遇到过,由于其广告是在电信的路由器上安放的,因此很难屏蔽。不过并不是说我们一点办法也没有。最好的办法,就是抵制这个ISP,拒绝使用其服务。其次,安装GOOGLE工具条,GOOGLE工具条可以屏蔽大部分弹出广告。
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-08-12 10:46:50
|
"谁控制了我们的浏览器?"
本文遵从GPL协议,欢迎转载。
1、现象是什么?
大约从今年年初开始,很多人就发现,在浏览一些网站的时候,地址栏的url后面会被莫名其妙地加上“?curtime=xxxxxxxxxx”(x为数字),并且弹出广告窗口。很多人以为这是网站自己弹出的广告,也就没有在意。
我是属于很在意的那些人之一。
2、这是怎么回事?
经过测试和分析,我们发现,上述现象与使用何种浏览器无关(我们测试了各种流行的http客户端),与使用何种操作系统也无关(linux用户也有相关报告)。我对出现该现象的IE浏览器进程进行了跟踪调试,没有发现任何异常。可以断定,并不是系统被安装了adware或者spyware。
那么是不是那些网站自己做的呢?后来发现,访问我们自己管理的网站时也出现了这种情况,排除了这个可能。
那么剩下唯一的可能就是:有人在某个或某几个关键网络节点上安装了inject设备,劫持了我们的HTTP会话——我实在是不愿相信这个答案,这个无耻、龌龊的答案。
伟大的谢洛克·福尔摩斯说过:当其他可能都被排除之后,剩下的,即使再怎么不可思议,也一定是答案。
为了验证这个想法,我选择了一个曾经出现过上述现象的网站附近网段的某个IP。直接访问这个IP的HTTP服务,正常情况下是没有页面的,应该返回 404错误。我写了一个脚本,不断访问这个IP,同时记录进出的数据包。在访问进行了120次的时候,结束请求,查看数据。120次请求中,118次返回的都是正常的404错误:
HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Mon, 19 Jul 2004 12:57:37 GMT
Connection: close
Content-Type: text/html
Content-Length: 111
〈html〉〈head〉〈title〉Site Not Found〈/title〉〈/head〉
〈body〉No web site is configured at this address.〈/body〉〈/html〉
但是有两次,返回了这个:
HTTP/1.1 200 OK
Content-type: text/html
〈html〉
〈meta http-equiv='Pragma' content='no-cache'〉
〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉
〈script〉
window.open('http://211.147.5.121/DXT06-005.htm', '', 'width=400,height=330');
〈/script〉
〈head〉
〈title〉〈/title〉
〈/head〉
〈body〉
〈/body〉
〈/html〉
更进一步分析数据包,可知劫持流程如下:
A、在某个骨干路由器的边上,躺着一台旁路的设备,监听所有流过的HTTP会话。这个设备按照某种规律,对于某些HTTP请求进行特殊处理。
B、当一个不幸的HTTP请求流过,这个设备根据该请求的seq和ack,把早已准备好的数据作为回应包,发送给客户端。这个过程是非常快的,我们的 HTTP请求发出之后,仅过了0.008秒,就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。
C、因为seq和ack已经被伪造的回应用掉了,所以,真正的服务器端数据过来的时候,会被当作错误的报文而不被接受。
D、浏览器会根据〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉这一行,重新对你要访问的URL进行请求,这一次,得到了请求的真正页面,并且调用window.open函数打开广告窗口。
在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索,出现的基本上是国内网站,这表明,问题出在国内。用于inject的设备插在国内的某个或某几个大节点上。
真相大白。我们被愚弄了,全中国的网民都成了某些人的赚钱工具。
3、现在怎么办?
在坏家伙被捉出来之前,我们要想不受这个玩意的骚扰,可以考虑下面的方法:
A、请各单位的网络管理员,在网络的边界设备上,完全封锁211.147.5.121。
B、在你自己的个人防火墙上,完全封锁211.147.5.121。
C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE,可以把“http://211.147.5.121/*”丢到弹出窗口过滤列表中去。
绝不只是广告那么简单,这涉及到我们的选择,我们的自由,这比垃圾邮件更加肮脏和无耻。今天是广告,明天就可能在你下载软件的时候给你加个adware或者加个病毒进去,谁知道呢?我们的HTTP通信完全控制在别人手里。
4、如何把坏家伙揪出来?
如果你是一个有权力调查和处理这件事的人,从技术上,可以考虑下面的手段:
方法1、
伪造的回应数据中并没有处理TTL,也就是说,我们得到的回应数据中TTL是和inject设备位置相关的。以我收到的数据包为例,真实的服务器端回应 TTL是107,伪造的回应TTL是53。那么,从我们这里到被请求的服务器之间经过了21(128-107)个节点,从我们这里到inject设备经过了11(64-53)个节点。只需要traceroute一下请求的服务器,得到路由回溯,往外数第11个节点就是安插inject设备的地方!
方法2:
假如坏家伙也看到了这篇文章,修改了TTL,我们仍然有办法。在google上以下面这些关键字搜索:php?curtime,htm? curtime,asp?curtime,可以得到大量访问时会被inject的网址。编写脚本反复访问这些网址,验证从你的ip访问过去是否会被 inject。将确实会被inject的结果搜集起来,在不同的网络接入点上挨个用traceroute工具进行路由回溯。分析回溯的结果。
上面我们已经说明了,坏家伙是在某个或者某些重要节点上安插了inject设备,那么这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。例如有A、B、C、D四个被inject到的网站,从四个地方进行路由回溯的结果如下:
MyIP-12-13-14-15-65-[89]-15-57-A
MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
MyIP-22-25-29-32-65-45-[89]-58-D
显然,inject设备极大可能就在“89”所在的机房。
方法3:
另一方面,可以从存放广告业面的211.147.5.121这个IP入手,whois查询结果如下:
inetnum: 211.147.0.0 - 211.147.7.255
netname: DYNEGY-COMMUNICATION
descr: DYNEGY-COMMUNICATION
descr: CO.LTD
descr: BEIJING
country: CN
admin-c: PP40-AP
tech-c: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: hui_zh@sina.com 20011112
status: ALLOCATED PORTABLE
source: APNIC
person: Pang Patrick
nic-hdl: PP40-AP
e-mail: bill.pang@bj.datadragon.net
address: Fl./8, South Building, Bridge Mansion, No. 53
phone: +86-10-63181513
fax-no: +86-10-63181597
country: CN
changed: ipas@cnnic.net.cn 20030304
mnt-by: MAINT-CNNIC-AP
source: APNIC
person: ShouLan Du
address: Fl./8, South Building, Bridge Mansion, No. 53
country: CN
phone: +86-010-83160000
fax-no: +86-010-83155528
e-mail: dsl327@btamail.net.cn
nic-hdl: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: dsl327@btamail.net.cn 20020403
source: APNIC
5、我为什么要写这篇文章?
新浪为我提供桃色新闻,我顺便看看新浪的广告,这是天经地义的;或者我安装某某网站的广告条,某某网站付给我钱,这也是天经地义的。可是这个 211.147.5.121既不给我提供桃色新闻,又不给钱,却强迫我看广告,这就严重伤害了我脆弱而幼小的心灵。事实上,你可以敲诈克林斯·潘,强奸克里奥·佩德拉,咬死王阳明,挖成吉思汗墓,我都不会计较,但是现在你既然打搅了我的生活,我就不得不说几句了。
6、我是谁?
如果你知道MyName,又知道MyCount的话,那么,用下面这段perl可以得到:2f4f587a80c2dbbd870a46481b2b1882。
#!/usr/bin/perl -w
use Digest::MD5 qw(md5 md5_hex md5_base64);
$name = 'MyName';
$count = MyCount;
for ($i=0; $i〈$count; $i++)
{
$name = md5_hex($name);
}
print $name;
以下签名,用于以后可能出现的关于此文的交流:
1 6631876c2aea042934a5c4aaeabb88e9
2 a6a607b3bcff63980164d793ff61d170
3 6a58e8148eb75ce9c592236ef66a3448
4 ded96d29f7b49d0dd3f9d17187356310
5 cc603145bb5901a0ec8ec815d83eea66
注:本文为转载,作者不详,发布日期为:2004.7.20。
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-08-12 10:47:37
|
"获取了电信恶意弹出广告的罪证"
今天刚拨号上网,首先上我的博客,虽然我的博客上没有任何弹出广告,但是这次首页又有电信局的广告弹出,不过这次不知何故显示速度比较慢,于是我点查看源程序,竟然先找到了电信局强行在我首页加广告的罪证。
我的首页原先应该是 http://www.williamlong.info ,而这次我查看源文件显示的是如下的内容,显然我的首页被深圳电信局从路由器那里加入了恶意代码,当访问我的首页时候,先执行下面的代码,代码的含义是先弹出深圳电信网络快车的弹出广告,然后再转移到我目前的网址。如果网络速度快的话,这个页面会非常迅速地转移到最终的页面http://www.williamlong.info,那时候点查看源程序就看不到这段代码了。
我再执行tracert http://www.williamlong.in......133.33.41也是深圳电信的。
为了隐藏这段流氓代码,此代码显然不是每次都被插入网站的,我第二次访问我的博客,就没有任何代码弹出。而且弹出的代码似乎也很难找到其规律性,可以算是木马病毒的极品了。
更令人感到遗憾的是,很多人竟然对此情况一无所知,我上个月发文说明这种情况时,很多网友怀疑我机器中了流氓软件和木马病毒,可悲啊。你们以为电信局是什么好东西吗?流氓软件和木马可以清除掉,可是这个呢?没有办法清除掉,如果这种流氓软件是电信局自己放在路由器上的,那么除非你不用ADSL上网,否则上的每一个网站都要先经过219.133.6.1这个路由器,现在还只是放弹出广告,要是那天电信局发起疯来把木马病毒放在上面,那不是就太恐怖了吗。
为什么我们付出了高额的宽带上网费,你们电信局还要在我们浏览网站的时候强行插入广告?你们的良心在哪里?你们还有没有一点羞耻感?你们讲不讲商业道德?
总而言之,电信局通过路由器将恶意代码加入网站,这是对我们大家上网权利的严重侵犯,我对电信局的这种做法表示强烈的抗议。
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-08-12 10:51:09
|
"非法互联网业务封堵"
本系统是附属于ICS平台上的产品,主要功能是检测多用户使用同一包月账号非法接入,通过本系统希望能找到嫌疑用户并确定,然后采用系统提供的警告,干扰,阻断措施从而减少运营商的损失。本系统的主要操作界面为web形式,所有的设置,查询,报表功能皆由web方式完成。系统的核心是用户采集统计程序,由后台完成。
在检测到各种非法使用或经营电信互联网业务的用户后,应以恢复正常的市场秩序为关键
采用Openet IPS互联网业务推送系统警告页面发送
采用Openet ICS互联网过滤控制系统实现用户非法业务的多级过滤、封堵
在检测到各种非法使用或经营电信互联网业务的用户后,应以恢复正常的市场秩序为关键
采用Openet IPS互联网业务推送系统警告页面发送
采用Openet ICS互联网过滤控制系统实现用户非法业务的多级过滤、封堵
提供非法互联网业务的警告、干扰、封堵、对于警告或干扰的用户,系统提供业务跟踪分析报告,分析其一个月内的业务使用情况等服务
共享上网检测及封堵
本系统是附属于ICS平台上的产品,主要功能是检测多用户使用同一包月账号非法接入,通过本系统希望能找到嫌疑用户并确定,然后采用系统提供的警告,干扰,阻断措施从而减少运营商的损失。
基于协议分析技术,定期向电信运营商提供使用IP电话业务的用户名单;
基于流量和时间分析,进一步精确定位非法IP电话务疑似用户名单;
针对重点疑似用户,提供IP电话业务实时监测服务,并记录CDR详单。
非法VOIP检测及封堵
针对共享上网、黑网吧用户或非法VoIP业务用户,通过Openet IPS信息推送系统发布警告信息给该用户,警告并劝阻其立即停止非法使用和经营相关互联网业务
针对非法使用或经营互联网业务的用户,采用独有的协议干扰技术,人为地降低其服务连接成功率和提高其丢包率(可配置),降低其业务质量
针对非法使用或经营互联网业务的用户,采用封堵技术,使得其非法使用或经营的互联网业务完全不可用。
互联网行为分析系统
面向电信互联网用户提供的用户行为分析业务。对互联网用户的上网行为进行实时查询分析,达到对互联网用户上网行为的精确分析功能的系统平台。
业务特点:
能分析出用户的上网习惯
数据分析具有完整性、准确性、及时
用户和应用定位具有针对性
可以进行自定义WEB分类
欠费催缴系统
欠费催缴系统是傲天通信开发的一套对电信欠费用户催缴系统,系统自动发送催缴信息,直达用户终端,欠费用户直接从在网上扣款。同时已经缴费用户自动停止推送。完善的管理功能和报表功
http://www.aosky.cn/products_qfcj.aspx
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-08-12 10:53:04
|
"Re:广州ADSL用户被恶意拦截-电信获取路由内网主机数的手段之一"
域名 blogland.cn
域名状态 ok
域名联系人 李黎军
注册者 深圳市傲天信息技术有限公司
管理联系人电子邮件 lib@hmg.cn
所属注册商 北京新网数码信息技术有限公司
域名服务器 ns.xinnetdns.com
域名服务器 ns.xinnet.cn
注册日期 2004-10-09 17:40
过期日期 2007-10-09 17:40
http:// gz.blogland.cn/
|
|
|
|
|
|
发帖时间 : 2006-08-12 11:11:26
|
"ISP如何检测控制多机共享ADSL连接"
ADSL给大家上网带来的极大地方便,许多家庭都有好几台计算机,通过ADSL共享上网的方式可以各自上网,互不干扰,可最近很多朋友告诉我,如果只有一台机子访问互联网,一切正常,若两台机子都要访问互联网,则都打不开网页,打听来的消息说,电信新装网络硬件:网络尖兵。
上网查了一下关于网络尖兵的资料,只提到了实现的功能,没有提到实现原理,要想解决不能共享上网必须摸清它的工作原理,ADSL共享上网有两种方式,一种是代理,一种是地址翻译(NAT),大家常说的路由方式其实就是NAT方式,其实路由和NAT的原理还是有区别的,这里不作讨论,现在的ADSL猫一般都有NAT的功能,用它本身的功能实现共享上网是比经济方便,本文主要讨论这种方式。
要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台,NAT的工作原理如图一所示,经过NAT转换后访问外网的内网的计算机的地址都变成了192.168.0.1而且MAC地址也转换成了ADSL的MAC地址,也就是说,从原理上讲,直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。那是如何发现的呢?
图一、NAT的工作原理
一、分析原因
首先用superscan对ADSL猫进行扫描,发现开着161端口,161是SNMP(简单网络管理协议)的服务端口,难道是通过SNMP协议发现的主机数量,用xscan对猫进行了漏洞扫描,果然有默认密码,登陆到猫的管理界面但是找不到关闭SNMP服务的地方,看来是留的后门,由此基本可断定是通过SNMP协议发现的主机数。为了进一步证实,用SNMP的一个管理软件ActiveSNMP查看ADSL猫的连接情况,如图二所示,可以清楚地看出通过SNMP协议可以发现同时上网的主机数量。
图二、ActiveSNMP显示的ADSL中的连接情况
二、解决方法
解决的方法就是屏蔽SNMP协议。有以下几个思路。
1、 猫中没有任何关闭SNMP协议的地方,可以换一个能关闭该协议的猫。
2、 修改配置文件,可以将配置转换成一个文件,用二进制编辑工具修改默认密码,然后再加载到猫中,这只是一种思路,没有试过。
3、 买一个ADSL路由器,例如TP-LINK TL-R400,放到如图三所示的地方,在该路由器中再做一个NAT服务,这样进到ADSL猫中的就是一个地址,这样就解决了共享上网。注意在路由器中要关闭SNMP协议。
图三
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-08-13 13:19:33
|
"电信强行插入广告网页"
打投诉电话他们竟说:不影响用户的使用.你只让它全部打开一次.
真无耻!
最近打开网页出了问题,自从某日没打开网页却自动跳转到广州电信“你使用的不是星空极速……”广告页面。我是用TPLINK路由器分配IP的,为啥某日也会收到星空极速广告,还有木有天理啊?
:一切的一切都是从某日接受到广州电信“你使用的不是星空极速”的垃圾广告开始的。我用的是TPLINK路由器来分配IP,星空极速根本用不到啊,我就是愿意让电信强奸,也要硬件套得上去啊。打10000说拔了路由器装星空极速试试,用路由器的出现问题电信概不负责,我X!
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-08-13 13:28:01
|
"电信监控,导致打开网页出问题!技术手段太低劣!!(广州ADSL)"
经常打不开。当打不开的时候》页面是空白的!(单机拨号也一样!!)
技术手段太低劣了!导致用户频频出现问题!
都不知道是那个领导“亲戚”搞的系统!低劣!
http://59.42.71.199
电信业务检测 及 控制系统
OPENET IPS/ICS系统管理门户
OPENET IPS/ICS营业客户服务管理系统
UBAS 用户行为分析系统
奥天定向网络信息推送管理平台
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-08-19 20:44:36
|
"广州电信换地址了"
http://219.133.33.46/adpo......3dy54aW5odWFuZXQuY29tLw==
去掉前面的AB,用base64解码
provinceid=13&cityid=12&classid=1130&username=gzDSL81361560&sourceurl=www.xinhuanet.com/
gzDSL81361560就是我的上网帐号
139.com的也来了
相信最近在全国各地大家都碰到过,在浏览的时候无缘无故会弹窗,地址要么是139.com要么是greenet.cn。
在电脑没有任何的插件的时候,为何还会弹窗呢?
其实这是电信在核心路由部分加了监听设备,监听指定字符或者按照时间规律,符合条件的修改HTTP封包使浏览器弹出指定的广告。
其实这里有个更严重的问题。涉及到隐私问题。我们来看看弹出的地址。弹出的是
http://139.com/learn12.ht......lassid=4560¶m=ADdXNuM
j1GNUUzNDI2NkM1NThDQTZBM0I0Qzg1M
TkyNzQxMjVGOCZwcm92aW5jZWlkPTIwJ
mNpdHlpZD01NzcwMSZ1c2VyaXA9NjAuM
TgwLjIzOS4zNCZjbGFzc2lkPTQ1NjAmc291
cmNldXJsPTIwNy40NC4yMjYuMTQyLw%3d%3d
我们把后面的代码解码后出来的信息是
usn2=F5E34266C558CA6A3B4C8519274125
F8&provinceid=20&cityid=XXXXX&userip=XX
.XX.XX.XX&classid=4560&sourceurl=207.44.226.142
具体解码是把代码前两位去掉同过BASE64编码就可以看到了。
点这里解码。
其实涉及关键字符我用XX代替了,收集的信息是你的IP和城市代码。
这个只是个例子,大家如果有注意的话,我们每次拨号后比较容易弹窗口,其他那个地址是收集我们拨号帐号用的。
具体我也可以给出例子。等什么时候弹出我留意下。
这是电信搞得强制广告,46后面会带很多参数,参数以base64编码,去掉前面的AB,解码后会得到你的帐号和上网记录 中国没有隐私法的,等国外的提供商进入中国后,大家都用国外的吧,
Johnny 在 2006-08-19 20:56:54 最后一次编辑此帖
|
|
|
|
|
|
发帖时间 : 2006-09-16 0:29:46
|
"Re:广州ADSL用户被恶意拦截-电信获取路由内网主机数的手段之一"
顶
不知各位大侠有没有对付的手段!!!
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-09-16 14:56:39
|
"Re:广州ADSL用户被恶意拦截-电信获取路由内网主机数的手段之一"
方法1.
1) 到电信公司 投诉 10000
2) 到省通信管理局投诉 12123
方法2
1)路由器上禁止那些广告IP和域名
2)浏览器禁止popup窗口弹出
|
|
|
|
|
|
发帖时间 : 2006-09-16 22:42:02
|
"Re:广州ADSL用户被恶意拦截-电信获取路由内网主机数的手段之一"
我想,假如你禁止了上面所说的IP地址与域名.那些垃圾会不会,不定期地更改那些大家都已知了的地址?
|
|
|
|
Johnny
Moderator
副总版主
来自:
|
|
发帖时间 : 2006-09-17 8:24:45
|
"Re:广州ADSL用户被恶意拦截-电信获取路由内网主机数的手段之一"
据我观察,那些IP至少半年内没有变动过
|
|
|
|
|
 |
