在 SegmentFault，学习技能、解决问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。
标签：至少1个，最多5个
编者按：的客户通过分析我们提供的报警信息，定位了一个非常棘手的问题—ISP劫持http请求。他的分析过程非常有意思，同时也提醒我们，应该及时支持HTTPS来保证站点安全。
本文版权归原作者所有。
最近业务系统经常受到前端报错邮件
发现大量的ip为沈阳联通客户==&初步推断为运营商http劫持
经过现场排查发现出错画面部分js加载出错
区别在于错误的js会先插入一个广告js
为区别是否dns劫持查看NetWork面板
IP正确并且为我方服务器IP确认并非为DNS攻击。
由于大面积出现沈阳联通问题，(故而考虑应当为运营商问题？应该不会出现大范围路由器被黑的可能吧)
返回js如下
(function () {
var o = 'm-_-m',
if (!D.getElementById(o)) {
var j = 'http://yunxiu.f6car.com/kzf6/js/basic/XXX.js',
J = j + (~j.indexOf('?') ? '&' : '?') + new Date().getTime(),
M = 'http://pc.quansj.cn/?cid=08',
C = D.currentScript,
H = D.getElementsByTagName('head')[0],
N = function (s, i) {
var I = D.createElement('script');
I.type = 'text/JavaScript';
if (i) I.id =
H.appendChild(I);
if (self == top) {
C = (function () {
var S = D.scripts,
l = S.length,
for (; i & ++i) {
if (S[i].src === j) {
return S[i];
C && ((C.defer || C.async) ? N(J) : D.write('&script src="' + J + '"&&' + '/script&'));
} catch (e) {}
通过域名Whois反查
发现旗下域名
有好几个都是广告劫持网站
貌似和一个说脱口秀的（赵本山徒弟）同名………………该不是同一个人吧/(ㄒoㄒ)/~~
和沈阳联通沟通后无果，拒不承认存在劫持。目前正在求助工信部，不知能否有解决方案。
github上已经有针对该地址的adblock了……明显辽宁联通
看了一下js选项，正常情况下会执行到
C&&((C.defer||C.async)?N(J):D.write('&script src="'+J+'"&&'+'/script&'));
代码做了判断，如果支持defer或者async这直接append异步加载js，当不支持则直接通过document写入（同步执行）
也就是说理论上会同步加载我们服务器上的js~但是事实上出现了大量的js未加载到
经过查阅发现chrome有个设置（据说chrome55(?)+版本后优化）可以尝试一下
[chrome://flags/#disallow-doc-written-script-loads]()
具体说明如下
With this data in mind, Chrome, starting with version 55,
on behalf of all users when we detect this known-bad pattern by changing how document.write() is handled in Chrome (See ). Specifically Chrome will not execute the &script& elements injected via document.write()when all of the following conditions are met:
The user is on a slow connection, specifically when the user is on 2G. (In the future, the change might be extended to other users on slow connections, such as slow 3G or slow WiFi.)
The document.write() is in a top level document. The intervention does not apply to document.written scripts within iframes as they don't block the rendering of the main page.
The script in the document.write() is parser-blocking. Scripts with the '' or '' attributes will still execute.
The script is not hosted on the same site. In other words, Chrome will not intervene for scripts with a matching eTLD+1 (e.g. a script hosted on js.example.org inserted on ).
The script is not already in the browser HTTP cache. Scripts in the cache will not incur a network delay and will still execute.
The request for the page is not a reload. Chrome will not intervene if the user triggered a reload and will execute the page as normal.
Third party snippets sometimes use document.write() to load scripts. Fortunately, most third parties provide , which allow third party scripts to load without blocking the display of the rest of the content on the page.
貌似我们不符合条件4
暂时先考虑一下
代码format完后大惊失色……整个加载js的前提是画面中没有id为m-_-m的节点。否则不会进行加载js ，即不会执行document.write
如果悲催的是我们画面中存在2个或两个以上的js被劫持，那么除了第一个js其余均不会加载。
那么查看了一下js请求（带有queryString），发现
果然当时客户的请求了commonjs，也就是commonjs也被劫持了。此刻画面中出现了m-_-m节点。导致其他被劫持的js不会加载真实的js………………
再说一下关于我们首页的劫持（跳转？）
明显也是江苏宽带(南京电信)的劫持……
欢迎加入的全栈BUG监控交流群: 。
0 收藏&&|&&1
你可能感兴趣的文章
221 收藏，1.5k
9 收藏，5.3k
4 收藏，1.3k
分享到微博？
我要该，理由是：
在 SegmentFault，学习技能、解决问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。查看: 1021|回复: 8
DNS 劫持吗
钻石会员, 积分 16092, 距离下一级还需 33908 积分
主题帖子积分精华0
阅读权限50
电信宽带 输入有效网址，没想到转入
&&这个网址
这个是劫持吗，如何去除，谢谢
钻石会员, 积分 18374, 距离下一级还需 31626 积分
主题帖子积分精华0
阅读权限50
手动设置DNS地址为 223.5.5.5 或8.8.8.8看看行不行
钻石会员, 积分 16092, 距离下一级还需 33908 积分
主题帖子积分精华0
阅读权限50
手动设置DNS地址为 223.5.5.5 或8.8.8.8看看行不行
改了可以用了
白钻会员, 积分 67296, 距离下一级还需 432704 积分
主题帖子积分精华1
阅读权限50
不用ISP提供的DNS，换别的DNS。或者投诉ISP
钻石会员, 积分 16092, 距离下一级还需 33908 积分
主题帖子积分精华0
阅读权限50
不用ISP提供的DNS，换别的DNS。或者投诉ISP
原先自动换取 DNS的，发现输入有效网址，就会转跳
黄金会员, 积分 5813, 距离下一级还需 4187 积分
主题帖子积分精华0
阅读权限40
楼主也没有说明自己的宽带网络有哪些设备，说不定是自己原因造成路由器或电脑DNS被劫持，投诉ISP有用么？除非排除电脑问题只用电信猫拨号上网还被劫持那投诉是必须的
高级会员, 积分 2207, 距离下一级还需 2793 积分
主题帖子积分精华0
阅读权限30
如果改了dns就能用，那只能说你的isp手段还比较低级，现在都是dns污染，或者dpi深度封包监测。你改什么都没用的，加密访问也许有用。
钻石会员, 积分 16092, 距离下一级还需 33908 积分
主题帖子积分精华0
阅读权限50
本帖最后由 sky1234 于
09:00 编辑
先说一下，路由器没有设置指定DNS ，即使有也是自动的。电脑DNS 也是自动。
今早打电话到电信宽带说明情况，首先客服说宽带是正常的，说我的电脑或路由器有问题
（我说自动获取DNS,就会劫持，设定指定8.8.8.8 我说没有问题）
最后说帮我更新端口数据包，10分之后路由器重新，再次使用问题解决了。
问题：这个劫持数据包，电信放的还是被第三者安装上去了(问过客服说这个网站是他们的）
Powered by【体验&建议】今天！你被宽带运营商劫持了吗？_360社区
绑定手机号
应国家法规对于账号实名的要求，请您在进行下一步操作前，需要先完成手机绑定 (若绑定失败，请重新登录绑定)。
不绑定绑定手机号
应国家法规对于账号实名的要求，如不绑定手机号，则只能浏览论坛，无法进行发帖、评论、回复、点赞等相关操作 (若绑定失败，请重新登录绑定)。
确定绑定手机号
反馈360产品问题，
&&近期在网上频频出现关于ADSL弹广告的投诉，“DNS劫持”成了该事件的关键词。经调查发现，不仅是个别地区的用户，包括广大网站的站长也对此事怨声载道，本文将为您揭开此事件，以及普遍存在的运营商DNS劫持现象的层层面纱。
& && & 在打开浏览器时有的时候总是显示一些广告内容，开始你以为是机子中了什么病毒，可是你可能对于安全一向很重视，杀软防火墙都正常开启，而且使用电脑时不使用有管理员权限的账号来登陆，一般我只访问一些大网站，应该不会中毒的。那是怎么回事？显示的广告网页很多时间是中国***的，有的时候是一些游戏网站。感觉这肯定与宽带运营商有关系，便在网上搜索了下，才知道这是卑鄙的DNS劫持，难道是穷疯了吗？堂堂一个大型国型给用户玩这样的流氓手段。下面谈谈DNS劫持的相关问题。
& && &DNS劫持是通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。
& && &简单谈谈什么时候我们会遇到DNS劫持呢？
& &&&1．用户在浏览器中输入了错误的域名，导致DNS查询不存在的记录。最早遇到这种情况，浏览器通常会返回一个错误提示。现在这种情况下用户会看到ISP设置的域名纠错系统提示。这种情况是用户输错网址后才会有，也是最常见，对于这种情况用户不会有什么怨言。
& &2.当用户打开浏览器主页时，却出现了ISP提供的“电信互联星空”或一些广告页面等内容页面，这也属于DNS劫持，也是最令人气愤的。我遇到的多是这种情况，有好几次在使用百度搜索时竞然直接跳出了劲舞团的官网。
& & 3．用户计算机感染病毒，病毒在操作系统中的HOSTS文件中添加了虚假的DNS解析记录。Windows中HOSTS文件的优先级高于DNS服务器，操作系统在访问某个域名时，会先检测HOSTS文件，然后再查询DNS服务器。
& & 提示：HOSTS文件是根据TCP/IP for Windows 的标准来工作的，它包含IP地址和主机名映射关系，在进行DNS请求以前，Windows会先检查自己的HOSTS文件中是否有这个地址映射关系，如果有则调用这个IP地址映射，如果没有再向已知的DNS服务器提出域名解析，也就是说HOSTS文件的存在能提高解析效率。
& & 4．用户试图访问的网站被恶意攻击。这种情况下，你可能访问到的是一个欺骗性网站，也有可能被定向到其它网站。
& && &宽带运营商最常用的是劫持手段有两种：DNS劫持和TCP劫持，一般来说DNS劫持比较好解决，更换成Google或者114 DNS就可以解决。可是现在我发现大多数的运营商使用的基本上都是TCP劫持，这种劫持比DNS劫持狠的多，除了用代理，基本上没有方法可以预防，TCP劫持，一般用于黑客攻击，运营商把这个技术拿来赚钱，确实有点说不过去，毕竟大家都交了网费，并不是免费上网，弹窗广告还算是明的赚钱，但通过TCP劫持购物商城来返利，这未免也有点太不光彩了。
下面收集了两组比较稳定的公用DNS服务器，供大家灵活选择：
114&&DNS& && &114.114.114.114& &备用114.114.115.115
从现阶段来看，还是最适合国内用户使用的DNS，国内网站明显快于Google DNS，ping值特别快，国外网站访问也优于本地ISP提供的DNS。
Google Public DNS& &8.8.8.8& & 备用8.8.4.4
Google提供的公用DNS，全国各个地方ping基本上都是几十ms。如果不介意访问国内网站速度慢，首选ing，毕竟Google还是值的依赖的。
& && &引发DNS劫持的原因有好几种，电信运营商为了增加收入或宣传推广某家公司的广告，或者降低本带宽成本而进行的DNS劫持，同时，因为每天都会有大量用户的客户端升级病毒库，为了节省带宽流量，运营商会阻止用户直接从杀毒软件公司服务器直接下载升级包，而是运营商自身先从杀毒公司服务器下载后，放置于自家机房服务器上，但是这个包一般不会每天更新，而是延迟几天或十几天都有可能，所以用户会出现无法升级或者进行手动在线升级后反而日期回退的现象，特别是一些3G无线运营商问题更严重。而解决方式，则是使用杀毒公司提供的离线病毒包，同时在软件中暂停自动升级病毒库，过段时间再恢复一下自动升级试试。
& && &不知道这些电信运营商是不是在用户协议中向用户说明了这一点，唉！谁让人家是老大呢，处于垄断地位呢？
揭秘“白名单” 运营商的潜规则
　　电信运营商的DNS劫持已不是稀罕事，如果没有网络平台，加上弹窗广告的伪装性，大部分宽带用户会被蒙骗和选择沉默。而识破骚扰的用户在拨通运营商电话的时候，往往一开始被百般推脱，进而说是增值服务，让用户自己去取消，除非说要去工信部投诉，他们才会积极处理。可以这样认为，坚决投诉的用户会被运营商列入一个过滤名单，不再推送广告，可以称之为“白名单”，而在这名单之外的用户，将继续接受他们的骚扰。&&
& && & 同时经多方资料查证，运营商与广告联盟也存在特殊的关系，才会卖力的向你推广告，请打电话给运营高反应这个问题，并且态度强硬，说如果还不马上给我关闭就要到工信部投诉了，客服马上就会问你的宽带账号，说工作人员会为我解决。如果过段时间还没有关闭这种强制弹窗广告，就只好真的去工信部投诉了。别的不怕，他们还是怕工信部和12315的，通过投诉铁定可以得以解决的。童鞋们如果也有类似问题赶紧行动吧，不要再被广告了 ！
& && & 运营商DNS劫持已屡见不鲜，《青岛联通劫持百度流量 被罚20万》令业内哗然。由于国内上网用户普遍使用的是默认DNS服务器，即电信运营商的DNS服务，有些运营商不讲诚信和商业道德，为了利益，会在DNS转换的时候做手脚，会在未经用户同意的情况下，转到114、某某信息港、互联星空之类的网站，或在特定网站嫁接商业广告，严重损害了用户和广大站长的合法权益。究竟电信运营商会从劫持广告获利多少？有业内人士分析，按市场行情6元/CPM（CPM广告，每千人成本，是指广告显示1000次所应付的费用）算，保守也在每天几万元以上。用户和站长显然被利用了，用户贡献了眼球，网站贡献了流量。& && &建议大家出现遭运营商劫持的情况后，不要觉得自己多渺小，对方多强大，先向电信运营商投诉（中国移动：10086；中国联通：10010；中国电信：10000），投诉无果可向工信部（网站或电话010-12300）求助主持公道 ，010-12300应该是最有效的，工信部投诉一旦成立，这种部级越级投诉年省公司老大都会被扣钱的，你可以也打“12315”消费者投诉举报专线电话。什么时候投诉也很有技术含量，建议在每年的3月15日前，最好是在3月1日至10日的时候投诉，这是各个运营商最紧张的时候，也是各个监管部门最重视的时候。
（注以上资料来源于互联网，本文只做与网友分享，不做其它用途）
QQ截图51.png (29.37 KB)
15:32 上传
央视财经报料
中国网络电视台消息：中央电视台晚会于3月15日在央视一套播出，今年是央视第23次举办315晚会，主题为“我的权益我做主”。中国网络电视台对晚会进行了全程视频、图文直播。
　　在重庆，记者登录某论坛首页，网页还没打开，右下角很快就出现一则牙科医院的广告，10秒钟后，广告自动消失，随后又登录该论坛，这条广告当天再也没有出现。
　　在成都，记者登录某门户网站的财经频道，右下角立即弹出一条贷款广告，又是10秒钟后，广告自动消失。
　　在上海、北京，记者登录一些网站时，类似这样神秘的广告同样不少。
　　更让记者奇怪的是，竟然连网站负责人对这些广告都毫不知情。
　　记者致电新浪网负责人，他表示没有这样的广告。
　　某论坛负责人：“找不到他的广告出来，不太明白。”
　　这神秘的广告究竟来自哪里呢？记者直接在弹出的广告上点击右键，发现这条广告的地址是gg.500v.com，经过查询，这是一个名为乐天惠网络传媒公司的网站。
　　乐天惠网络传媒公司的办公地点在成都市南二环附近的一幢商住楼内。这条贷款公司的广告真的是来自乐天惠公司吗？
　　成都乐天惠文化传播有限公CEO王邦宇：“那就是我们做的绑定，你比如绑定新浪，我又不会给新浪钱，一分都不会给他。”
　　这条神秘的广告果然来自乐天惠！王经理告诉记者，乐天惠的这种弹窗广告是通过宽带运营商这一特殊渠道投放的。
　　成都乐天惠文化传播有限公司CEO王邦宇：“因为我们这是所谓叫做灰色产业链，你比如说绑定了这个域名，只要用户上了这个网，然后这个广告就出来了。”
　　用户只要上网，乐天惠就可以通过运营商把这种神秘的广告强行推送到用户电脑上，根本无法屏蔽。虽然这样的广告在四川省每天的投放量就高达1200万条，但乐天惠做起业务来却仍然显得很低调。
　　成都乐天惠文化传播有限公司CEO王邦宇：“这个东西是不允许对外宣传的，因为你在家里上宽带，你上(花钱)网，还在你那里跑广告，肯定你不高兴了。”
　　记者随后又走访了北京、上海、深圳等地，发现许多网络广告公司像乐天惠公司一样，都在通过宽带运营商，偷偷给用户强行推送这种神秘的广告。
　　北京微码邓白氏营销咨询有限公司媒介经理刘东东：“三大运营商 我可以随你挑。”微码邓白氏营销咨询有限公司上海公司经理陈曦：“强行把广告塞到用户电脑上，这个太牛了这个 ， 这个就有点霸王条款了，这个就逆天了。”深圳天翼时代科技有限公司客户经理蔡燕：“他是强制性的，你不接也得接。”
　　这些公司真的是通过运营商在推送这种神秘的广告吗？记者首先对重庆的宽带运营商进行了调查。重庆信息导航业务中心经理助理袁磊承认，他们的确在向自己的宽带用户推送弹窗广告。
　　重庆信息导航业务中心经理助理袁磊：“我们主要是绑定宽带账号，绑定网站也做了。”
　　袁助理打开电脑中的一个文件，上面列举了一个广告客户要求绑定的一些网站，涉及新浪乐居、搜房、焦点、房多多、大渝房产、赶集网、搜房二手房等。
　　记者调查发现，四川、上海等地一些宽带运营商，都在强行向用户推送弹窗广告。上海热线媒体产品部渠道经理王志峰：“现在主要是上海地区，上海地区有400万用户都可以弹，每天的量弹出的量在200万次左右。”
　　四川号码百事通新媒介中心林睿之：“跟IP地址绑定的， 比如说全四川现在500万的用户，比如你指定的是京东，那就在京东给你弹出。”
　　通过绑定网站，向用户推送弹窗广告，宽带运营商是否会经过用户同意呢？
　　上海热线媒体产品部渠道经理王志峰：“这个现在还没有。”
　　这种号称最全面、最精准，用户无法屏蔽的强制性广告，每向用户推送一次，宽带运营商会向广告客户收取几分到几角钱不等的费用，这就给他们带来了丰厚的收入。
　　重庆信息导航业务中心经理助理袁磊：“上千万条，几百万的广告额。”
　　上海热线媒体产品部渠道经理王志峰：“去年下半年开始做的，大概800多万。”
　　用户花钱办了宽带，宽带运营商还要强行推送弹窗广告，难道他们就不怕用户投诉吗？一些宽带运营商告诉记者，实际上，一般用户都很少知道这种弹窗广告来自运营商，即便有所怀疑，用户也很难抓住证据。
　　成都乐天惠文化传播有限公司CEO王邦宇：“你看这个域名是我们的广告，但是你根本不知道这是我们的。”
　　记者：“域名不是得真是的注册吗？”
　　王邦宇：“我不用啊，我在网上买，几十元一个。”
　　即便被用户发现，对宽带运营商来说也是很容易解决的事。
　　重庆信息导航业务中心经理助理袁磊：“投诉来该处理就处理，就给他屏蔽了，不给他发那些广告。”
　　重庆热线网站运营部吴记录：“投诉来大不了给他点话费就行了。”
　　对用户，宽带运营商可以用话费摆平，但对于被绑定的网站，他们就小心多了。
　　上海热线媒体产品部渠道经理王志峰：“这个事情你也知道，不是很方便公开来做的，所以，如果弹多了，投诉多了，可能网站这里可能也会知道。”
　　记者：“有没有网站投诉过你们？”
　　重庆热线网站运营部策划主管吴记录:“有。”
　　记者：“投诉过来怎么办？”
　　吴记录: “安抚一下吧。”
　　实际上，早在2010年，青岛联通公司就因为在某搜索引擎网站偷偷强行推送弹窗广告被告上法庭，最终，法院以青岛联通公司不正当竞争为由，判定青岛联通与其广告代理商共同赔偿对方20万元并道歉。
　　但是，宽带运营商以及广告代理商似乎并未因此汲取教训，只不过手段越来越隐蔽，为了不留下证据，运营商与代理商、代理商与广告主之间甚至连合同都不签订。
　　成都乐天惠文化传播有限公司CEO王邦宇：“现在我们不敢跟你们签什么合同，运营商也不允许我们跟你们签合同。”四川号码百事通公司新媒介中心林睿之：“我们都是私下操作的，包括我们之前一直是这么操作的，就是你打到我们领导那儿或者我们这儿私人账户。”
　　在运营商眼里，用户虽然支付了并不便宜的宽带费，但他们的权益却并不重要，重要的是，如何让这种赚钱的方式更安全、更长久。
　　四川号码百事通公司新媒介中心林睿之：“没有绑不了的，只有不敢绑的！比如说政府网我们不敢动。”
QQ截图15.png (215.02 KB)
15:33 上传
chrome://newtab/变成了2345，我的QQ.
热门推荐最新主帖
360社区客户端下载北京千橡网景科技发展有限公司：
文网文[号··京公网安备号·甲测资字·文化部监督电子邮箱：wlwh@vip.sina.com·
文明办网文明上网举报电话： 举报邮箱：admin1@renren-inc.com&&&&&&&&&&&&&&&&今天给博客换了主题后查看百度统计的变化，尽然发现来源网站中http://117.71.18.10这个IP地址赫然在目，查了下IP是安徽合肥的。在浏览器里访问此IP是Apache的默认页面，服务器信息显示的是centos，这个服务器应该就是ISP用来投放广告的了，可惜我不会多少攻击技能，要不然就黑进去看看了。我打开自己博客的时候浏览器显示被指向了另一个网址后又返回正常地址，影响速度，但也不是每次都这样，公司是专线。在家里上网的时候更猖狂，右下角直接弹出淘宝的广告了，网址显示的是jisu8.cn安徽电信的页面。我的DNS已经改成阿里和114的DNS，无效，所以已经不是简单的DNS劫持了，改DNS无用。真是流氓啊，国情所限，用户只能投诉。
再来说说投诉到工信部的过程，当然得是正当的理由，胡乱投诉进了黑名单就不好了。首先你得拨打本地运营商的客服电话，比如电信是10000，如果他们不拖拉的话48小时内应该能解决，这是正常的工单流程。如果投诉未果你可以接着投诉，并且语气强硬一点，说不解决会越级投诉的。如果问题还没有解决就可以去工信部网站申诉了，这样有理有据工信部也会很快受理，不出第二天运营商应该会乖乖主动打你电话协调解决。记得我上次搬家申请移机的时候就是迟迟不给我办理说没有资源，可是怎么说我也是个搞通信的嘛，去楼梯口看了纤芯是有资源的，于是就开始了投诉之旅，后来还是投诉到工信部给解决了。
工信部网址在这里：
PS:IP地址http://117.71.18.12也是！
我的微信公众号
我的微信公众号扫一扫
<span class="tipso_style" id="tip-p" data-tipso='
您可以选择一种方式赞助本站
支付宝扫一扫赞助
有回复时邮件通知我