浅析宽带运营商劫持

今天请求公司主站裸域会导致莫名奇妙的跳转到yiqifa.com然后再跳转回www域的诡异问题，清理Cookies、更换DNS均无效，郁闷！在公司群里讨论了一下大概可以锁定为宽带运营商劫持，由于之前安装了Wireshark也没怎么用，正好出现类似问题，使用HTTP抓包工具分析再好不过了。关闭大部分的可能产生网络连接的软件，Start&Action！

去掉正常的请求响应包，锁定到302请求，依次向下查看，果然发现了一些猫腻。截图如下：

96号 百度HM请求包61.135.185.140

URL：http://hm.baidu.com/h.js?ca88bf7b092f300a228b2c153a0a9fc8

97号 百度HM响应包61.135.185.140

HTTP 302 Location＝http://122.141.234.60:51234/bdpop.sl.php?http://hm.baidu.com/h.js?ca88bf7b092f300a228b2c153a0a9fc8

当浏览器302跳转上述地址时响应Cookie里面增加了一个DIANSHANG＝54

100号 跳转URL请求包122.141.234.60

URL：http://122.141.234.60:51234/bdpop.sl.php?http://hm.baidu.com/h.js?ca88bf7b092f300a228b2c153a0a9fc8

103号TCP超时快速重传包61.135.185.140

HTTP 304

106号跳转URL响应包122.141.234.60

HTTP 200

window.location='http://p.yiqifa.com/n?k=2mLErn2OWE3lrI6H2mLErI6H6ljqWmLm6lwLWN6HWl3FWNtsrI6HkQLErnWLWlDO39MErBXpgZUfgmL-&e=c&t=http://www.wangjiu.com';

117号浏览器加载上述Location请求包

我们所看到的劫持发生在96号请求包和97号响应包之间，大致过程如下：

1）浏览器将/h.js的请求（96号）发送到百度；

2）宽带运营商嗅探到这个请求后，会将百度的302响应进行篡改，然后转发至用户浏览器（97号），与此同时对百度TCP连接的响应直接给予超时处理；

3）此时真正的响应(来自百度)可能还未到达用户。这就导致了百度服务器认为响应没有送达用户浏览器－发起TCP快速重传（103号），但是用户浏览器在这个过程已经确认收到响应(来自宽带运营商)；

4）根据响应结果，浏览器触发302跳转，然后就是我们所看到的先跳转yiqifa.com（117号）然后yiqifa将它的CPSID带上再跳转回主站（后续包）。