歪歪猪作坊 编程是一门手艺

广州电信耍流氓

2006-08-21

中国互联网上充满着各种流氓,大家感受最深的是“流氓软件”。不过现在有一个可以管得住一百多号流氓的东西-“360安全卫士”。大家并不见得有多喜欢周鸿袆,只不过给流氓欺负惯了,突然有个人站出来主持公道,大家也就自然傍了过去,也不管他之前也是个大流氓和以后耍不耍流氓了。其实对付电脑上的流氓还好办,最多我用Firefox或者装什么spybot、超级兔子或者现在的360安全卫士。但是有一种流氓是很难对付的,那就是运营商的流氓行为。比如,运营商调整个计费日期,就可以从用户手上多收一大堆钱,或者电信破坏VoIP的行为。

为什么说难对付,因为运营商掌握了网络的传输介质,它可以在任何一层做手脚,用户端是无能为力的,比如假扮IP,用户端根本无法分辨数据是否真的是由对方IP发过来的。所以装什么样的软件,做什么样的拦截都是徒劳的,除非换一家不耍流氓的运营商。之前拦截VoIP的时候,电信已经采用了假扮IP的办法。最近发现正常的浏览网页,广州电信也用了同样的方法干扰,目的还不是很清楚。最近上网的时候,发现浏览器总会弹出一个指向http://59.42.71.199/ndatin.aspx的窗口,最初以为是又中了什么插件,查了很久没有发现什么异常,窗口还是照弹。用google一搜,发现了很多介绍这个的文章:

总的来说,就是电信为了某种目的,使用在路由器假扮IP的方法,向用户发送数据包,我通过抓包,发现了这样一段代码:

code-731307.jpg

懂html的人就知道怎么回事,假扮对方IP,发送这么一段代码,先弹一个指向http://59.42.71.199/ndatin.aspx的窗口出来,再马上重定向到你真正想去的网站上。如何知道是假扮的,其实还有一个办法是看http协议的头,这个http标记的服务器是:Server: Apache/2.0.43 (Unix),而实际上,我网站上用的apache的版本是1.3的。

打10000号,电信的人死活不承认是电信搞的东西,所以我又做了一点功课,通过端口扫描,我发现59.42.71.199开了好几个端口,其中800端口打开是这样的:

port-300-704150.jpg

3000端口打开是这样的:

port-3000-766755.jpg

6000端口打开是这样的:
port-6000-797000.jpg

7000端口打开是这样的:

port-7000-754366.jpg

看来后台老板是广州电信,但是干活的是深圳傲天了。

关于这件事情,我有几个担忧:

  1. 假扮IP是不是妨碍通讯自由,因为妨碍通讯自由是违法的。
  2. 电信如何保证这种方法不被滥用或者用于违法的目的。比如假扮网上银行的IP,把你访问的网上银行的页面替换成另外一个服务器的页面,和原来网上银行的看起来一样的,骗取你的帐号和密码。
  3. 如果拿来推广告或者有其他目的的服务器给别人骑劫了怎么办。59.42.71.199这部机器是Windows 2003,用的是IIS6,而且打开了远程终端和PC Anywhere的端口,如果IIS6出现了另外一个安全漏洞,这部机器给人骑劫了,拿来当成传播病毒,或者钓鱼的工具怎么办。
  4. 如果纵容这种现象,会不会又象流氓软件一样,以后无所不在。浏览网页可以弹出广告,那发email为什么不能在email的前后加点广告呢,用QQ或者MSN会不会也在聊天的中间会给插一些广告呢。这样的结果是流氓软件可能会消失,因为流氓软件花了那么多功夫,其实想做的事情也是这些,还不如运营商来得干脆,我就直接在你网络底层插,你吹咩?

当然,运营商耍流氓的的手段已经不只这个,地方也不限于广东了:

如果不加强监管,以后中国互联网会是个什么样子?


评论

内容