这里说一个比较奇怪的PC故障,一朋友电脑可以正常登陆QQ但是打开网页无论是什么页面都会自动跳转到一个网页,这个地方联通宽带的页面上,这里说一下朋友的网络是电信跳转到联通相关页面肯定不正常,跟很多人一样我想到的也是系统中毒,因为只有这样才能够解释。
既然QQ能登陆也就代表本地已经拨出去了外网实际是没问题的顶多只是DNS的故障,但是页面“被”跳转就不属于这类问题了。所以我怀疑中毒了而且是IE劫持。
在此顺便给大家普及下计算机中“劫持”这词,劫持可以分为分很多种,有大家常常听见的那些广泛的也有较为狭窄较为针对性的,比如大家常说的映象劫持它其实也可以叫做进程劫持,如果它是通过DLL注入映象或者注入内存的话也可以叫做DLL劫持。
还有一种常见的“网络劫持”,它其实也有着更加广泛的名词,比如修改HOSTS文件植入X.acme代码屏蔽站点或跳转指定页面,这种较为针对性可以称为HOSTS劫持,用类似ettercap这样的工具做中间人毒化网关通过本地脚本来完成数据重定向这种叫做ARP劫持或路由器劫持,利用路由的JS或http(数据)这些有重定向和编辑功能的来植入数据或转发数据可以针对性的叫做“JS劫持”、“页面劫持”或“路由器劫持”。这是一个无底洞有着许许多多的说法但大伙都习惯了用大众化的名词来称呼这些劫持事件,比如一个监听和劫持注册表的事件直接称为系统劫持,一个LSP协议劫持称为网络劫持。的这里说的IE劫持是指针对本地IE组件的一种非法删改或利用其它进程监听页面请求数据来达成跳转的一种目的。
首先检查了下IE中的插件和设置都没有异常,查看了hosts文件无异常,同时打开一个QQ会话窗口点击QQ秀发现面板里跳转的还是联通宽带的页面,排查了很多表明IE是没问题的不存在组件被劫持,那么下面只能排查网络了也许是DNS劫持,我追踪了下路由跃点。
数据流向都没问题其中一个100.64.0.1是电信NAT都很正常,又试了下清理缓存和手动配置DNS。
一切都OK,电脑没有中毒网络流向也很正常不存在ARP和DNS劫持那么是什么让我的http数据被劫持跳转到了其他页面呢?
困惑了很久我想到页面,排查了一圈这个网站从页面元素到检查代码和抓包分析都表明这个页面是一个正常页面不存在恶意行为,那到底是哪方面疏忽了呢?剩下的只有一个了那就是路由器本身,说也奇怪朋友的路由器是联通的但是宽带却是电信AD,原本路由器是很早前办理宽带联通送的一个非常简单连端口映射和DHCP分配列表这些基本东西都没有,甚至固件版本和内部信息都无法查看,由于无法查看到它内部定位不到固件文件但不管怎么说我都确定是它的问题,能做这种事的简直是无耻加恶心之前遇到过营运商对路由器的DNS劫持也只是小面积的事件比如对指定页面引入的jQuery植入特定参数,和小部分URL数据跳转但这次它居然无耻到了全局劫持,简直无耻到极点!
后面我重刷了一遍路由固件果不其然问题马上解决了。。