跟联通茬个架

半年前我曾经因为移动端HTTP劫持添加手机浮层广告跟联通茬过一次，一直闹到工信部因为我没拿到确切证据最终不了了之。但是，这次不一样了，这次是PC端，而且复现率比原先高得多。也就意味着我有充足的机会可以拿到证据，并且，我拿到了，通过劫持前后对比提取出来的劫持插入的网页代码。

恐怕我要先解释一下什么叫HTTP劫持：HTTP劫持是一种运营商常用来向用户投送广告的手段，和DNS劫持不同的是HTTP劫持对用户的影响”更小”用户依然能加载出原有的网页，只是多了层广告。受影响的网页包括所有未开启HTTPS的网页，随机出现，刷新后会消失。

我这次是怎么发现被劫持了呢？因为人类希望的A站和B站。众所周知A、B两站对广告这个事情一直很克制，页面里很少出现广告，尤其是不会出现广告联盟提供的广告。如果一个烂到家的广告出现在AB站，那你几乎就可以确定是被劫持了。但是，作为一个严谨的电工，我还是给A站的猴们发了邮件，也得到了确认，虽然回我邮件的好像是个PM。

为了确定不是路由器或者电脑的问题呢我又通过另外一个物理地址的联通线路确认了一遍，同样的结果，插入的广告代码字节水平相同。两个站点，两条线路，两组路由(Netgear+ERX/CISCO+CISCO) ，两台电脑，相同的状况。从网站到我的电脑要经过多少个环节呢，网站服务器>CDN>联通>路由>终端。那么有哪个变量是相同的呢？联通。只有联通能实现在两个完全不同的网站上加上完全相同的广告。你可能会问，为什么不可能是其他运营商呢，诚然网站和我中间可能经过多家运营商，但是，这两个网站的IDC并不是一家而且也没有运营商会大胆到在IDC侧的网络动手动脚。那么几乎就只有一种解释联通的链路上有人/公司/什么神秘物质添加了这段代码进来，但是不论这个添加代码的something是不是和联通公司有可以被证明的利益或其他关系，这个锅联通都稳稳的背定了。我分析了整段代码，虽然我是一个真电工，没学过HTML但是还是能分析出点东西的。
开头上来就加载了一个不显示的带参数的百度LOGO，我试过了把参数删掉返回值也是同样的图片。我怀疑这是某种百度的统计方式。
里面提到了好几家广告联盟包括360及其参股的mediav和几家小公司当然还有相应的统计ID，和好多个和备案信息不符的域名(感谢国内的备案制度)，全程没有说联通一个字，是的从源代码上很难直接和联通公司建立联系。
我最想不明白的是有一段向广告服务器返回识别信息的，不光有我可以理解的匿名识别号比如jdpin，和网络参数比如IP Mac，竟然还有IMEI，QQ，E-mail，taobaoname这种非匿名ID。首先是震惊然后是怀疑他是怎么拿到这些ID的。

HTTP劫持这个事情其实也不是一天两天了，那一个“正常的”“别人家的”解决流程是什么样呢？你打客服，只要提到了HTTP劫持这个词就会被拉进一个白名单，不会再收到广告，但是也不会有任何解释。联通呢？联通每次的解决方法都是随便找一个基层既不了解HTTP劫持是什么东西又没有权限解决的人来接工单，一般是所在片区的线路员或者是销售人员。如我所说我在一座城市的两个区都收到了同样的广告那么也就证明这个劫持一定是运行在市一级主干网之上，所以所在地的人员即使是机房的技术人员也不可能知道具体情况。即使你找到工信部也是一样的结果，不知道，不承认，不解决。因为即使你拿到源代码还是很难证明“联通公司”和“广告受益人”之间的关系，就以目前截到的源代码来说没有任何一个域名直接指向联通，作为投放广告服务器的域名是一个和备案和网站内容不一致的注册人是一个个人的域名的二级域名，还有几个备案是某公司实际上一级域名根本就没有解析的。剩下的线索就只有广告受益者在各广告联盟上用于统计数量的识别码了，但是这个ID反过来对应哪个人我想不出有什么方法可以查出来。这次相对于前一次来讲似乎更积极一些，但是我还是对结果持悲观态度。

---

May 20，10010投诉
May 21，约上门察看
May 23，1001销售领一个看上去是什么领导的上门看了一下，解决不了，留销售邮 37527[email protected]
1528来了个用长城笔记本的线路员，留机房邮箱 cn[email protected]
May 26，约省公司技术上门
May 31，省公司上门，来了五个人应该有四个技术人员，他们说是排查了局端的设备没问题，承认这个问题确实存在但是找不到故障点
June 1，移动端(iPad)上开始出现新的浮层广告和弹窗，涉及锤子科技官网和搜狐视频
June 3，PC端广告代码出现了新的部分，一个47.89.47.88的IP做投放的广告出现了
June 15，联通开启了拖字诀，广告投送的地址又变化了，w.365sh.com/webSite/webGame/h2.html，跟之前47.89.47.88的那个相比链接是一样的就是把ip换成了域名(我试了域名不是解析到原来的IP)

按这个探针上写的数据两天23小时100多G的流量，一次投送也就是几K的流量，这个站上没有别的东西，那就应该是每天近千万次投放，比较傻逼的是之前广告联盟的广告还是根据cookie的精准投放现在这个是一个固定的广告

June 19，又看了一线这个后台，流量还真不小呢7天多400多G

再放几张之前被劫持的截图吧

June 21 工信部投诉果然效果是杠杠的，哈尔滨市联通某个领导今天给我打电话跟我说这个事情他们已经上报给省公司，省公司报给了集团，集团把这个案子给了国家安全部门了。感觉搞了个大新闻的样子。总之，什么时候能解决还是不知道；能不能给我准确的检测结果是哪出了问题是谁干得呢，恐怕悬。下午市公司10010和省公司10010又给我打电话要结工信部的投诉案子，但是任何事都没解决而且任何事也都没确定，联通自说自话的说和自己没关系就结案这是一个没法接受的结果。那台给我投送广告的服务器还好好的活在阿里云香港机房里，广告刚刚还又插进了acfun和bilibili的网页（不是他俩安全性有多差只是碰巧我经常看剧而已），那个分光是在哪分的被谁分的也还不知道。任何事实都没发生任何改变。说句后话，分光能存在就是因为国内迟迟不上ipv6且网站主很少会开全站https（电商里应该只有阿里和亚马逊中国开了全站https，一堆个人博客反倒是都开了全站https，比烂的话我投去哪儿一票，webkit的app都能让人劫持了而且是包括登陆界面在内），国内不上ipv6主要加密数据没法方便的进行网络行为分析会导致网监和墙出问题，网站不开https我还是有点想不明白，证书对于企业来说远算不上昂贵而且实现上也不难。只要一天网络数据不全部加密，分光技术就可以继续用一天，流量劫持的风险就会存在一天。即使这次抓到了某个犯罪分子伙同某人在某条或几条线上通过分光手段投送广告非法牟利多少钱被判了什么刑也不会改变这个安全漏洞存在的事实，今天抓了一个明天一样会有别人继续做同样的事。

2016-12-22 来联通的HTTP劫持告一段落后，今天，我的电信卡手机上也出现了类似的手机浮层广告，待我跟电信再茬一架再说。

2016-12-23 跟之前和联通客服的对话差不多，电信的客服也是在推卸责任，把责任推给终端和软件。总之就是这个事情我自己测试没看到，你说了不好使。你怎么知道不是你手机出的毛病，你换手机试了吗。就是这样，由于劫持是随机的，没办法很容易的复现，客服很难看到现象也很难承认问题。尴尬的是我手里只有手机是用电信的没有办电信的宽带，我也实在没有闲工夫开着热点拿电脑抓包去替电信做这个测试工作。这种问题跟客服人员

koupit-pilulky.com