最近又发现了“网络尖兵”的新行为。
这个的行为和以前说过的插播广告差不多,是通过篡改HTTP返回信息的包头和强制在返回页面里面插入iframe代码实现,只不过由于几个javascript文件都放在了展示“网络尖兵”警告信息的服务器上,所以感觉应该是检测内网机器的手段之一。
首先,不是访问所有的网站都会出现,目前发现开心网(http://www.kaixin001.com/)和VeryCD(http://www.verycd.com)会出现,感觉是筛选大多数人都会同时去访问的网站,便于发现内网机器数量。
正常的开心网返回的包头是这样的:
HTTP/1.1 200 OK
Date: Tue, 08 Dec 2009 15:59:24 GMT
Server: Apache
Cache-Control: max-age=1; private
Expires: Tue, 08 Dec 2009 15:59:25 GMT
Last-Modified: Tue, 08 Dec 2009 15:59:24 GMT
ETag: app-1260287964
Set-Cookie: _user=deleted; expires=Mon, 08-Dec-2008 15:59:23 GMT; path=/; domain=.kaixin001.com
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html; charset=UTF-8
Set-Cookie: SERVERID=_srv103-81_; path=/
经过篡改的包头是这样的:
HTTP/1.1 200 OK
Server: Apache/2.0.43 (Unix)
Content-Type: text/html
Expires: Thu, 01 Jan 1970 08:00:01 GMT
Cache-Control: private
Cache-Control: no-cache
Transfer-Encoding: chunked
Connection: close
Date: Tue, 08 Dec 2009 23:21:52 GMT
同时,会强制插入这样一段iframe代码:
没时间去分析js的具体实现,感觉是通过分析打开的窗口或者iframe来判断是否多个人同时浏览。
一般展示多机共享警告信息的网页是:http://121.32.136.21:8080/,而open.js所在的机器也是这部,所以基本可以肯定这些代码是和检测多机上网有关的。