学院首页>安全防御>病毒防治>谁控制了我们的浏览器

谁控制了我们的浏览器

作者: 来源: 添加时间:2006-5-23 8:29:22

4、如何把坏家伙揪出来?

如果你是一个有权力调查和处理这件事的人,从技术上,可以考虑下面的手段:

方法1、

伪造的回应数据中并没有处理TTL,也就是说,我们得到的回应数据中TTL是和inject
设备位置相关的。以我收到的数据包为例,真实的服务器端回应TTL是107,伪造的回
应TTL是53。那么,从我们这里到被请求的服务器之间经过了21(128-107)个节点,
从我们这里到inject设备经过了11(64-53)个节点。只需要traceroute一下请求的服
务器,得到路由回溯,往外数第11个节点就是安插inject设备的地方!

方法2:

假如坏家伙也看到了这篇文章,修改了TTL,我们仍然有办法。在google上以下面这些
关键字搜索:
php?curtime
htm?curtime
asp?curtime
可以得到大量访问时会被inject的网址。编写脚本反复访问这些网址,验证从你的ip
访问过去是否会被inject。将确实会被inject的结果搜集起来,在不同的网络接入点
上挨个用traceroute工具进行路由回溯。分析回溯的结果。

上面我们已经说明了,坏家伙是在某个或者某些重要节点上安插了inject设备,那么
这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。例如有A、B、C、
D四个被inject到的网站,从四个地方进行路由回溯的结果如下:

MyIP-12-13-14-15-65-[89]-15-57-A
MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
MyIP-22-25-29-32-65-45-[89]-58-D

显然,inject设备极大可能就在“89”所在的机房。

方法3:

另一方面,可以从存放广告业面的211.147.5.121这个IP入手,whois查询结果如下:

inetnum: 211.147.0.0 - 211.147.7.255
netname: DYNEGY-COMMUNICATION
descr: DYNEGY-COMMUNICATION
descr: CO.LTD
descr: BEIJING
country: CN
admin-c: PP40-AP
tech-c: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: hui_zh@sina.com 20011112
status: ALLOCATED PORTABLE
source: APNIC

person: Pang Patrick
nic-hdl:   PP40-AP
e-mail: bill.pang@bj.datadragon.net
address: Fl./8, South Building, Bridge Mansion, No. 53
phone: +86-10-63181513
fax-no: +86-10-63181597
country: CN
changed: ipas@cnnic.net.cn 20030304
mnt-by: MAINT-CNNIC-AP
source: APNIC

person: ShouLan Du
address: Fl./8, South Building, Bridge Mansion, No. 53
country: CN
phone: +86-010-83160000
fax-no: +86-010-83155528
e-mail: dsl327@btamail.net.cn
nic-hdl: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: dsl327@btamail.net.cn 20020403
source: APNIC

5、我为什么要写这篇文章?

新浪为我提供桃色新闻,我顺便看看新浪的广告,这是天经地义的;或者我安装某某
网站的广告条,某某网站付给我钱,这也是天经地义的。可是这个211.147.5.121既不
给我提供桃色新闻,又不给钱,却强迫我看广告,这就严重伤害了我脆弱而幼小的心
灵。事实上,你可以敲诈克林斯·潘,强奸克里奥·佩德拉,咬死王阳明,挖成吉思
汗墓,我都不会计较,但是现在你既然打搅了我的生活,我就不得不说几句了。

6、我是谁?

如果你知道MyName,又知道MyCount的话,那么,用下面这段perl可以得到:
2f4f587a80c2dbbd870a46481b2b1882。

#!/usr/bin/perl -w

use Digest::MD5 qw(md5 md5_hex md5_base64);

$name = 'MyName';
$count = MyCount;

for ($i=0; $i<$count; $i++)
{
  $name = md5_hex($name);
}

print $name;

以下签名,用于以后可能出现的关于此文的交流:

1 6631876c2aea042934a5c4aaeabb88e9
2 a6a607b3bcff63980164d793ff61d170
3 6a58e8148eb75ce9c592236ef66a3448
4 ded96d29f7b49d0dd3f9d17187356310
5 cc603145bb5901a0ec8ec815d83eea66

第 2 页,共 2 页 [1] [2]
上一篇:如何对付WGA检查
下一篇:Qmail下防止滥用mail relay完全解决方案
站内搜索