电信DNS劫持cnBeta.com分析

首先这件事cnBeta.com存在可疑点,后面有分析。

今天公司市场同事反映:

Mozilla考虑对沃通CA采取行动 这个新闻,现在一打开会自动跳转到360导航。看来是想屏蔽新闻了

想起了今年4月份在公司也遇到这类情况,做过一点分析,以为是偶发。过后就没怎么关注(用网页上 cnBeta.com 比较少)。

4月份的简单分析

请求被DNS劫持地址

请求JavaScript跳转地址

看到 top.location.href="http://hao.360.cn" 没,就是这个。

今天再次分析

http://static.googles.com/adserver/adlogger_tracker.php 在家(电信)解析 127.0.0.1

DNS解析测试 dig static.googles.com @8.8.8.8

测试地点 结果
家(电信)(8.8.8.8/223.5.5.5/114.114.114.114) 无答应
香港(8.8.8.8/223.5.5.5/114.114.114.114) 无答应
公司电信企业网(8.8.8.8/223.5.5.5/114.114.114.114) 192.157.208.178
AWS新加坡(8.8.8.8/223.5.5.5/114.114.114.114) 无答应

whois googles.com 查到的所属也不是Google。

在公司电信企业网会被电信存在DNS劫持的情况(注意:无论你用的是不是电信的DNS)。

初步结论

  1. cnBeta.com可疑:在国外、香港、以及17ce.com的多个节点(包含非电信节点)上获取的网页内容都一样,响应内容中包含这个解析不存在的域名 static.googles.com,cnbeta存在这样一段无用代码,这点可疑!googles.com 路径还是/adserver/adlogger_tracker.php 看起来像Google的广告,其实和Google并没有任何关系。
  2. 电信企业网有DNS劫持:电信企业网对无法解析的DNS拦截,返回一个电信的IP,HTTP响应内容包含跳转到网址导航的代码(已测试多个无法解析的域名,都一样)

关于Chrome跳转,Safari免疫的问题

不是不跳,是水土不服 -_-!

DNS劫持也发生了,只是卡在了跳转那里

这里也模拟了一下Safari 的请求,响应和Chrome一样。

1
curl -vvvv http://static.googles.com/adserver/adlogger_tracker.php --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
*   Trying 127.0.0.1...
* connect to 127.0.0.1 port 80 failed: Connection refused
* Trying 192.157.208.178...
* Connected to static.googles.com (192.157.208.178) port 80 (#0)
> GET /adserver/adlogger_tracker.php HTTP/1.1
> Host: static.googles.com
> User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
> Accept: */*
>
< HTTP/1.1 200 OK
< Vary: Accept-Encoding
< Content-Type: text/html
< Accept-Ranges: bytes
< ETag: "86006234"
< Last-Modified: Tue, 14 Jun 2016 08:18:24 GMT
< Content-Length: 671
< Connection: close
< Date: Fri, 26 Aug 2016 14:36:13 GMT
< Server: lighttpd/1.4.28
<
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<script type="text/javascript" language="javascript">
var Browser_Agent = navigator.userAgent;

if(Browser_Agent.indexOf("MSIE")!=-1){
var a=navigator.browserLanguage;
if(a !="zh-cn"){
location.href="http://www.fengshui123.org/bbs/?fromuid=2045";
} else
location.href="http://www.hzdmb.com/u_13821.html";
}

else{
var b=navigator.language;
if(b!="zh-CN"){
location.href="http://www.fengshui123.org/bbs/?fromuid=2045";
} else
location.href="http://www.hzdmb.com/u_13821.html";
}

</script>
* Closing connection 0