遭遇网通(联通)dns劫持

如果看不见图片请点击我的百度空间：http://hi.baidu.com/51plan/blog/item/121f9dfc183c3af7fd037f6f.html

 

天真怒了！一晚上被劫持了三四次，事情原委听我慢慢道来……

近日总是莫名其妙地链接到一些游戏网站，好在俺心态平和，大家都是出来混的，总得赚钱养家吧，所以对那些带有欺骗性的链接的网站也习惯了，但这次有些不对劲儿了，因为我用的是Google！在Google搜索页点击左侧搜索结果列表竟然也会链接到广告！！见下图：我搜索“键值数据库”

按道理来讲，页面应该链接到：http://vifix.cn/blog/opensource-key-value-database.html ，但实际上页面却链接到这个页面：http://event50.wanmei.com/w2i/200911/1201arrival/

这让我好生奇怪！难道Google也鼠目寸光耍流氓了？？不可能！哪怕Google有一点儿流氓情节他也不会走到今天。于是我只能怀疑自己中了招，打系统补丁、360、诺顿、木马清道夫，一通折腾……，结果啥问题也找不出来！斜了门了！！！

到此，我只能暂时假设自己的系统没有问题，那到底是谁的问题，难道Google也被挂马了？这可能性太小了，并不是说Google一定固若金汤，别人破不了它，主要是因为入侵一个市值过千亿美刀的互联网公司主机的后果是相当严重的，而为了推广一个破游戏就冒这样的险是得不偿失的。所以我很快就否定了这种猜想。

我没有问题、Google也没有问题，那问题只能出在Internet上！路由、DNS!!!

好，接着查！查看浏览器历史记录：

猫腻儿开始浮出水面！

我描述一下过程：

1、首先，当我访问http://vifix.cn/blog/opensource-key-value-database.html 时，请求首先被发往联通（网通）dns，dns将我的请求发送到http://121.28.1.25/1-313/e6b39686-cd9e-4e88-96c8-cc76dd60e60f_2603748314/0.7884784489870071/http://vifix.cn/blog/opensource-key-value-database.html ，其网页源代码应该是这样的：

<meta HTTP-EQUIV="REFRESH" CONTENT="0; URL=http://ad1.inhe.net/admanager/200911/t20091119_616650.html">

这段代码意味着要把我的网页转发到http://ad1.inhe.net/admanager/200911/t20091119_616650.html

请注意，并不是每次都会重定向到广告服务器，他们做得很隐蔽，大多数情况下他们会将页面指向正确的网址，至于在什么情况下才推送流氓广告，由流氓系统进行逻辑判断，我估计他们是根据IP、访问数等多个条件进行组合判断，以到达既能发送广告又不至于激怒用户的目的，真是用心良苦啊！

下面这段代码是流氓系统决定不推送广告是返回的页面源代码，这意味着你可以访问到正确的页面：

<meta HTTP-EQUIV="REFRESH" CONTENT="0; URL=http://vifix.cn/blog/opensource-key-value-database.html%20%EF%BC%8C">

2、121.28.1.25把我发到 http://ad1.inhe.net/admanager/200911/t20091119_616650.html ，以下是网页源代码：

<html>
<head>
<!-- 将此标记放入标头部分 -->
<script type="text/javascript" src="../../images/google_service.js">
</script>
<script type="text/javascript">
GS_googleAddAdSenseService("ca-pub-5892274720033199");
GS_googleEnableAllServices();
</script>
<script type="text/javascript">
GA_googleAddSlot("ca-pub-5892274720033199", "zhongwang2");
</script>
<script type="text/javascript">
GA_googleFetchAds();
</script>
<!-- 标头部分的标记结束 -->
</head>
<meta http-equiv="refresh" content="0; url=http://w2i.wanmei.com/arrival/index.htm?dida=x0900042300136a000&pageinfo=wmadap&type=1">
<body>
<!-- 将此标记放入广告位置 zhongwang2
     中的理想位置 -->
<script type="text/javascript">
GA_googleFillSlot("zhongwang2");
</script>
<!-- 广告位置“zhongwang2
    ”的标记结束 -->
</body>
</html>

绿色部分的代码让浏览器链接到最终的广告页面http://w2i.wanmei.com/arrival/index.htm

备注：

1、关于ip 121.28.1.25   或 121.28.1.23   

2、关于  ad1.inhe.net   inhe.net 是石家庄银河网，由网通（现联通）主办。

通过Whois查询inhe.net，结果如下：

Domain Name.......... inhe.net
Creation Date........ 1999-12-06 12:31:54
Registration Date.... 1999-12-06 12:31:54
Expiry Date.......... 2012-12-06 12:31:53
Organisation Name.... China Netcom (group)company ltd hebei branch
Organisation Address. no.19,Fanxi Road
Organisation Address.
Organisation Address. Shijiazhuang
Organisation Address. 050011
Organisation Address. HE
Organisation Address. CN

Admin Name........... Cuijuan Ma
Admin Address........ no.19,Fanxi Road
Admin Address........
Admin Address........ Shijiazhuang
Admin Address........ 050011
Admin Address........ HE
Admin Address........ CN
Admin Email.......... yuming@vip.inhe.net
Admin Phone.......... +86.31186671218
Admin Fax............ +86.31186671228

China Netcom (group)company ltd hebei branch 可以翻译为：

中国网通（集团）有限公司河北省分公司

那么基本过程可以这样描述：

我在河北石家庄，使用网通（现联通）ADSL服务，DNS为网通dns，被劫持到网通机房的某台服务器上，然后被发往网通主办的银河网广告服务器上ad1.inhe.net，最后被发送到游戏提供商的广告页面上。

今天（2009年12月11日）10：30左右给10010打电话投诉，接待我的客服号是6142，她问了一些情况，然后告诉我最迟36小时会给我回复，过了十几分钟，一个自称网通技术支持的给我打电话说：你的电脑中毒了，跟我们没有关系。我说你怎么知道是中毒了？他们说反正我们没问题，我说等我找到证据我会投诉你的，他说：去吧！

有几个问题想请教一下：1、到哪儿可以投诉联通？具体法律依据是什么？2、广告代码中的zhongwang是啥意思？中网在线传媒集团？3、谁能指出google广告中的“ca-pub-5892274720033199”是什么意思。

 

在网上一搜，还真有不少难兄难弟，相关链接：

石家庄网通强制用户收看广告

网通弹出广告网页和奇怪网页

廊坊联通在用户电脑中投放广告。。。

 还有碰到类似情况的兄弟吗？

 

评论

11 楼 zxc005 2010-01-25  

已经投诉工信部，问题获得不完美解决。也就是我已经被划入“白名单”，但其他adsl用户依然弹广告，干！详细投诉过程请参考：http://hi.baidu.com/51plan/blog/item/121f9dfc183c3af7fd037f6f.html

10 楼 zxc005 2009-12-16  

ray_linn 写道

打12315 把事情闹腾下

好，等忙过这几天

9 楼 zxc005 2009-12-16  

又发现浮动窗口广告，服务器为 content.clicklifter.com

枪毙！

127.0.0.1      clicklifter.com
127.0.0.1      content.clicklifter.com

8 楼 ray_linn 2009-12-16  

打12315 把事情闹腾下

7 楼 zxc005 2009-12-16  

联通客服也不搭理我了，现在唯一的方法是修改系统 hosts 文件，把inhe.net屏蔽掉，但估计也保不了多久，他们换台服务器我又得整，斗争需要坚持不懈。

想出国了，不想让自己的孩子也在这样的社会环境下成长，太容易沾染流氓习性了

6 楼 zxc005 2009-12-16  

修改dns了，但依然如故，想来也是，他们随便找个路由节点做手脚你也没辙呀！我想这叫法应该变一下了，不叫dns劫持，应该叫“路由劫持”，我Gan！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

5 楼 jpenguin 2009-12-13  

Google 已经提供DNS服务了，Google的DNS 服务器地址是
8.8.8.8, 8.8.4.4  很快。不过如果用的人多了，估计这两个IP会被封了。
http://www.williamlong.info/archives/2009.html

4 楼 zxc005 2009-12-13  

哦，竟然回复了两次，看来javaeye对safari4  的支持还有问题

3 楼 zxc005 2009-12-13  

<p><span style="">如果看不见图片请点击我的百度空间：<a style="color: #006699; text-decoration: underline;" href="http://hi.baidu.com/51plan/blog/item/121f9dfc183c3af7fd037f6f.html">http://hi.baidu.com/51plan/blog/item/121f9dfc183c3af7fd037f6f.html</a></span></p>

2 楼 zxc005 2009-12-13  

<div class="quote_title">chengren 写道</div>
<div class="quote_div">该图片仅限百度用户交流使用</div>
<p> </p>
<p><span style="">如果看不见图片请点击我的百度空间：<a style="color: #006699; text-decoration: underline;" href="http://hi.baidu.com/51plan/blog/item/121f9dfc183c3af7fd037f6f.html">http://hi.baidu.com/51plan/blog/item/121f9dfc183c3af7fd037f6f.html</a></span></p>

1 楼 chengren 2009-12-12  

该图片仅限百度用户交流使用