中国电信“网络尖兵”研究（二）

最近又发现了“网络尖兵”的新行为。

这个的行为和以前说过的插播广告差不多，是通过篡改HTTP返回信息的包头和强制在返回页面里面插入iframe代码实现，只不过由于几个javascript文件都放在了展示“网络尖兵”警告信息的服务器上，所以感觉应该是检测内网机器的手段之一。

首先，不是访问所有的网站都会出现，目前发现开心网（http://www.kaixin001.com/)和VeryCD（http://www.verycd.com）会出现，感觉是筛选大多数人都会同时去访问的网站，便于发现内网机器数量。

正常的开心网返回的包头是这样的：

HTTP/1.1 200 OK

Date: Tue, 08 Dec 2009 15:59:24 GMT

Server: Apache

Cache-Control: max-age=1; private

Expires: Tue, 08 Dec 2009 15:59:25 GMT

Last-Modified: Tue, 08 Dec 2009 15:59:24 GMT

ETag: app-1260287964

Set-Cookie: _user=deleted; expires=Mon, 08-Dec-2008 15:59:23 GMT; path=/; domain=.kaixin001.com

Vary: Accept-Encoding,User-Agent

Connection: close

Content-Type: text/html; charset=UTF-8

Set-Cookie: SERVERID=_srv103-81_; path=/

经过篡改的包头是这样的：

HTTP/1.1 200 OK
Server: Apache/2.0.43 (Unix)
Content-Type: text/html
Expires: Thu, 01 Jan 1970 08:00:01 GMT
Cache-Control: private
Cache-Control: no-cache
Transfer-Encoding: chunked
Connection: close
Date: Tue, 08 Dec 2009 23:21:52 GMT

同时，会强制插入这样一段iframe代码：

没时间去分析js的具体实现，感觉是通过分析打开的窗口或者iframe来判断是否多个人同时浏览。

一般展示多机共享警告信息的网页是：http://121.32.136.21:8080/,而open.js所在的机器也是这部，所以基本可以肯定这些代码是和检测多机上网有关的。

中国电信“网络尖兵”的初步研究

广州的中国电信也跟随其他地方的步伐，开始设施检测多部电脑用一条ADSL线上网的措施。发现有多部上网时，就会在某一部电脑上的浏览器弹出一个页面，说发现多部电脑上网，请联系电信之类的话。据说是按增加多少部电脑收多少费用这样来实行的。随着上网本的普及，一个家庭有多部电脑很普遍，看来电信的野心不小。

经过一天的观察，初步研究了一下它的原理和行为。

首先，原理是什么呢？多部电脑用同一条ADSL线上网，一般都使用了NAT（Network Address Translation）技术，把所有内网发出去的IP包都进行了地址转换，再发到互联网上，内网IP，MAC地址这些信息是绝对不会透露到外网去的，网上有一个很流行的破解“网络尖兵”的帖子，说把内网的所有机器的MAC地址都改成同一个，这个是不对的，而且会造成内网的通讯障碍的。那么怎么知道NAT后面有多少部机器在共享上网呢？原来NAT虽然进行了地址转换，但是有一些IP包的信息基本保留了下来，其中最重要的一个是IP包里面的IPid这个域，这个域原来的作用是在IP包太大，给拆成多个部分传输（Fragmentation）时，可以在目标地正确地组包，也就是说，只要保证它在较短的时间内不重复就可以了。但是，大部分的操作系统的实现，这个域是自增长的，也就是说从开机之后，开始发第一个包开始，每发一个包就加一。由于目前大部分的NAT并没有处理这个域，所以如果在公网对ADSL发出的IP包进行观察，如果内网只有一部机器时，看到的IPid的域就是一个不断增长的序列，如果有两部机器，除非两部机器刚好同时开机和同时向外发包，否则从外网观察，就会看到两个不同范围的增长的序列，如果以时间作为横轴，Ipid作为纵轴，可以看到有两条增长的直线。所以只要在局端对IP包根据IPid进行简单的统计分类，就可以大致地看出一条ADSL后面有多少部机器了。

电信大概就是靠这个还有其他一些措施组合起来判断ADSL后面的机器数量了。那么发现超过数量后，电信会怎样处理呢？经过观察，大致是这样的：规定数量以内的机器不作干扰，数量以外的机器在一定的时间内，所有TCP连接都直接发Reset中断，除了到80端口的TCP连接，如果发现是HTTP请求，就直接返回一个302的跳转的应答，跳转到电信展示的警告页面，所以用户就看到了警告的页面，而且由于其他的TCP链接都给中断了，所以感觉发上网中断了。UDP连接不受影响，所以QQ和域名解析都不受影响。

由于IPid可以用来检测内网的主机数量，而且可以用这个来更准确地追踪主机的上网行为，在国外，很早就有针对这个的解决方法，但是注意，他们的着重点是安全，不是象我们一样，对付运营商。所以他们的做法是对IPid进行随机取值，而且用一个算法保证在短时间内，这个值不会重复。BSD系统（应该包括Mac OS X）有一个Kernel的参数：net.inet.ip.random_id，把它设为1，就可以使IPid的值是随机的。使用OpenBSD的Packet Filter做NAT，它也有一个叫Traffic Normalization的功能，可以使出去的IPid随机化，这样外网就无从检测到内网有多少部机器了。但是那这个方法对付电信会适得其反，因为电信采用了宁可杀错，不可放过的策略，电信的系统希望看到的是规定数量以内的IPid的有序的序列，一旦发现大量随机序列，估计就给判断成内网有大量的机器，这是会发现网内的机器可以上网的几乎没有了，要不就是干脆上不了网，要不就是会弹出警告窗口。

所以，要对付电信的话，一定要让出到外网的Ipid序列化，最好只有一个序列，还好国内已经有人做出来了，一个是Linux的iptables的修改：http://www.chinaunix.net/jh/4/909127.html ， http://linux.chinaunix.net/bbs/viewthread.php?tid=909127 。

根据这个修改，用Linksys' WRT54G/GL/GS, Buffalo WHR-G54S/WHR-HP-G54 或者相同解决方案的路由器的Image也有人做了出来，是基于Tomato的修改:  http://www.right.com.cn/forum/viewthread.php?tid=13909 ,  http://www.high3.cn/view.asp?webid=214 。

我自己没有试过，有遇到相同情况的可以去试试。因为之前有人反映HTTP代理也不行，目前我的解决方案是Socks5的代理，好像还没发现什么问题。

参考资料：

 

A Technique for Counting NATted Hosts

天翼手机摆乌龙

拿到了中国电信不惜让员工每个月推销5部的天翼手机，估计电信直接用了联通当年C网采购的手机，只是换了Logo和加了一些壁纸什么的，但是很关键的一个，手机内置的IP拨号功能，竟然是拨到了17910，是联通的IP特服号，嘿嘿，很象当年电信的线路给人装上联通的IP拨号器一样，当年电信还在讨论看能不能在局端装个什么设备来烧掉这些拨号器，现在怎么办？用基站发个电磁波炸弹烧掉手机?

中国电信DNS骑劫的严重后果

技术贴，所以放在《歪歪猪作坊》上。

http://techblog.yypig.net/2007/07/dns.html

预言成真

之前在讲电信耍流氓的时候，已经提到了我的担忧，就是拿来推广告的服务器如果给劫持了怎么办？看了已经是现实了，据cnBeta报道，已经有网友发现了成都电信劫持Http的服务器，推给用户的网页已经给人插入了恶意代码。这个比推广告的服务器被入侵更加严重。因为劫持HTTP的动作至少要在接入服务器或者路由器上才能实现，如果报道属实，说明被黑客入侵的不是那部推广告的服务器，而是电信的ADSL接入服务器或者路由器，这个危害更大，因为利用这部服务器，黑客可以更加为所欲为，甚至可以假扮网上银行的页面，或者直接对用户的数据抓包，窃取里面的密码等资料。如果用户因为这个造成损失，完全可以去告中国电信妨碍通讯自由。

监管部门去了哪里了呢？该出来说句话吧？

警惕DNS缓存中毒攻击

最近在访问www.pheedo.com和www.openitpower.com的时候，发现了中国电信广东省的3个DNS服务器202.96.128.68、202.96.128.86和202.96.128.166好像受到了DNS缓存中毒攻击，经常会返回216.221.188.182或65.104.202.252等无法访问的地址，而且存活（TTL，Time To Live）时间被设成很长的时间，大约是15个小时。由于Windows会按照这个时间去缓存DNS，所以造成网站在一段很长的时间内无法访问。如果有人遇到这样的情况，可以按照下列方式解决，点击“开始”>“运行”，打入CMD，会出现黑底白字的命令行窗口，输入下列指令“ipconfig /flushdns”并按回车。然后再试试是否可以访问网站。深圳电信的DNS服务器202.96.134.133好像没有这个问题。

我们遇到网站访问不了，通常都会以为是被G～F～W了，下次可以先用这个排除一下。 最好的做法是在访问正常的时候，把域名和IP地址加到hosts文件中。

Update:2007/03/28

Google返回的两个奇怪的IP，找到了下面的文章，其中好像好像一个IP曾经用作下载木马的服务器。警惕，警惕！

• 病毒资料：W32/Spybot.MLR-net
• International DNS compromise?

广州电信又开始插广告了

之前投诉过广州电信ADSL骑劫HTTP协议，强行插入弹出式广告的问题。后来发现消失了，这段时间又开始出现了，用中仙步的话说叫：“沉渣泛起”。这次非常隐秘，只要访问特定的网站才会出来，目前发现2个肯定会出现的，一个是国际电影数据库（International Movie Database)http://www.imdb.com/ ，另一个是凤凰网http://www.phoenixtv.com/。使用的方法和以前一样，也是在HTTP协议里面插入一段script，强制打开一个弹出式窗口，指向http://219.133.33.46/adportal/portal1.aspx这个页面，然后会给重定向到一个电影网站：http://film.movievnet.com/。然后会重新让浏览器去加载原来想要访问的网站。219.133.33.46这部机器还是原来那部，用的是Windows Server 2003 Enterprise Edition，IIS6作为Web服务器。开了一堆端口：

• 22/tcp open ssh
• 80/tcp open http
• 135/tcp open msrpc
• 445/tcp open microsoft-ds
• 1025/tcp open NFS-or-IIS
• 1026/tcp open LSA-or-nterm
• 2030/tcp open device2
• 3000/tcp open ppp
• 3389/tcp open ms-term-serv
• 3531/tcp closed peerenabler
• 5001/tcp open commplex-link
• 5631/tcp open pcanywheredata
• 6000/tcp closed X11
• 6666/tcp closed irc-serv
• 8000/tcp closed http-alt

这次相对比较隐蔽，打开的端口的首页中不敢出现任何信息，比如3000端口进去是这个样子的：

5001端口进去是这样子的，还是有敖天的信息在里面：

之前相关的链接：

• 广州电信耍流氓
• 电信耍流氓的新变化
• 事情解决了

目前会弹出窗口的网站，

• 国际电影数据库（International Movie Database）（http://www.imdb.com）
• 凤凰网（http://www.phoenixtv.com/）
• VeryCD（http://www.vercd.com/）

其他人也碰到了：

• 强制弹窗: 电信广告现身广州

中国电信114网络搜索的后端是谁？

最近查看我的Blog的服务器的日志的时候，发现有人是通过114.vnet.cn搜索过来的，发现是搜索“乔迁之喜”，第一条就是这个博客，我忽然想起以前也试过有百度的用户搜索相同内容连到我这里的，所以就猜想114搜索的后端会用谁呢？结果测试了几个，发现它和百度的搜索结果是一模一样的，连右边的广告的结果都是一样的，几乎可以肯定就是用了百度的服务。大家可以试试看。 不知道广告和竞价排名和百度是怎么分成的。

Update: 2006/09/19

今天发现114网络搜索上多了个“技术支持：Windows Live”的字样，测试一下，看来后端换成了“Live 搜索”。可以试试搜“brad pitt”，Live搜索的结果中，多了第一条的imdb的数据，其他两家一模一样。

相关连接：

• 中国电信强推114网络搜索引擎
• 中电信搜索业务浮出水面 微软2100万美元支持
• 中电信采用微软live搜索技术 不推竞价广告

事情解决了

今天ADSL断了一次线又恢复之后，所有的弹出窗口终于没有了。看来我的投诉起作用了。

这次对于电信的投诉是一次愉快的经历。

在第一次发现有弹出窗口时，我马上打了广州电信的10000号投诉，接电话的小姐告诉我她不清楚这件事情，而且由于涉及到复杂的技术问题，她会通知专门的技术人员联系我。当天我马上收到了电信的技术人员的电话，我就把我遇到的问题向他作了说明，还把推送广告的服务器IP告诉他，并且告诉他服务器开了哪些端口，为什么可以确认服务器是广州电信自己的。技术人员礼貌地说会去了解情况，并在调查清楚之后给一个答复给我。

几天之后，有另外一个人员打电话给我，继续向我了解情况，并询问问题解决没有，有没有碰到新的弹出窗口。因为当时已经没有弹出窗口，只是在访问招行的网站时，会弹一个窗口，而且这次的推送服务器在深圳。我就如实地反应了这个情况。同样，打电话地人也礼貌地说会继续调查这件事情，而且强调他们领导已经知道了这个情况，正在处理。

今天，同一个人又给电话我，也是同样询问了问题解决没有，我和他说，连接招行的网站，还是有弹出窗口，其他情况就没有。他说他们会继续关注这件事情，而且这次他还提到了深圳傲天，说会和他们联系，看看是不是系统出现了什么问题。

今天的晚些时候，发现上招行的网站也没有弹出窗口了。看来事情是解决了。

通过这件事情，可以看出电信已经有了一些进步：

1. 开始重视用户的投诉了。再也不是那个高高在上的电信了，开始会重视普通用户的投诉了。以前试过帮一个公司装邮件服务器，那个公司还是电信的大客户，只是希望电信帮忙设一个DNS反查服务，结果没人理，客户代表还大声说，你可以转用其他运营商啊，但是这个区域内，其他运营商是没有线路给你提供接入的。
2. 开始以一个负责任的大公司的形象出现。所有的接线员、工程师都非常有礼貌，态度诚恳而且耐心听你的投诉和解释问题。愿意正视问题，不会象以前那样遮遮掩掩。比如这次，他们就“大胆”地提到了他们的供应商的名字。

我是一个不相信有救世主的人，结合上次恢复停机ADSL的情况，我相信，国内电信市场的激烈竞争，国外运营商的虎视耽耽，Skype这样的新兴技术的引入，运营商会的服务会更加改善，费用会更加低廉。

电信耍流氓的新变化

上次发现电信耍流氓之后，向10000号投诉了一下，专门还有人打电话给我说他们正在调查这件事情，之后就发现不会再弹窗口了。不过在上招行的网站的时候，还是会弹，在linux下，用lynx这个字符浏览器追踪了一下，打入：lynx -mime_header http://www.cmbchina.com，返回这样的结果：

这次给重定向到了219.133.33.46这部服务器，IP地址是深圳的，同样通过端口扫描，发现了3000端口上的内容是这样的：

这次换成了深圳电信，技术支持还是深圳傲天。

有几种可能：

1. 把拦截的路由器放到了深圳。
2. 还是广州在做拦截，只是服务器放到了深圳，因为在深圳连接招行的网站是没有问题的。广州的非ADSL连过去也是没有受到拦截。

广州电信耍流氓

中国互联网上充满着各种流氓，大家感受最深的是“流氓软件”。不过现在有一个可以管得住一百多号流氓的东西－“360安全卫士”。大家并不见得有多喜欢周鸿袆，只不过给流氓欺负惯了，突然有个人站出来主持公道，大家也就自然傍了过去，也不管他之前也是个大流氓和以后耍不耍流氓了。其实对付电脑上的流氓还好办，最多我用Firefox或者装什么spybot、超级兔子或者现在的360安全卫士。但是有一种流氓是很难对付的，那就是运营商的流氓行为。比如，运营商调整个计费日期，就可以从用户手上多收一大堆钱，或者电信破坏VoIP的行为。

为什么说难对付，因为运营商掌握了网络的传输介质，它可以在任何一层做手脚，用户端是无能为力的，比如假扮IP，用户端根本无法分辨数据是否真的是由对方IP发过来的。所以装什么样的软件，做什么样的拦截都是徒劳的，除非换一家不耍流氓的运营商。之前拦截VoIP的时候，电信已经采用了假扮IP的办法。最近发现正常的浏览网页，广州电信也用了同样的方法干扰，目的还不是很清楚。最近上网的时候，发现浏览器总会弹出一个指向http://59.42.71.199/ndatin.aspx的窗口，最初以为是又中了什么插件，查了很久没有发现什么异常，窗口还是照弹。用google一搜，发现了很多介绍这个的文章：

• 防止电信级的网络尖兵劫持监测
• 广州ADSL用户被恶意拦截-电信获取路由内网主机数的手段之一
• 中国电信广州分公司严重侵犯用户私隐权

总的来说，就是电信为了某种目的，使用在路由器假扮IP的方法，向用户发送数据包，我通过抓包，发现了这样一段代码：

懂html的人就知道怎么回事，假扮对方IP，发送这么一段代码，先弹一个指向http://59.42.71.199/ndatin.aspx的窗口出来，再马上重定向到你真正想去的网站上。如何知道是假扮的，其实还有一个办法是看http协议的头，这个http标记的服务器是：Server: Apache/2.0.43 (Unix)，而实际上，我网站上用的apache的版本是1.3的。

打10000号，电信的人死活不承认是电信搞的东西，所以我又做了一点功课，通过端口扫描，我发现59.42.71.199开了好几个端口，其中800端口打开是这样的：

3000端口打开是这样的：

6000端口打开是这样的：

7000端口打开是这样的：

看来后台老板是广州电信，但是干活的是深圳傲天了。

关于这件事情，我有几个担忧：

1. 假扮IP是不是妨碍通讯自由，因为妨碍通讯自由是违法的。
2. 电信如何保证这种方法不被滥用或者用于违法的目的。比如假扮网上银行的IP，把你访问的网上银行的页面替换成另外一个服务器的页面，和原来网上银行的看起来一样的，骗取你的帐号和密码。
3. 如果拿来推广告或者有其他目的的服务器给别人骑劫了怎么办。59.42.71.199这部机器是Windows 2003，用的是IIS6，而且打开了远程终端和PC Anywhere的端口，如果IIS6出现了另外一个安全漏洞，这部机器给人骑劫了，拿来当成传播病毒，或者钓鱼的工具怎么办。
4. 如果纵容这种现象，会不会又象流氓软件一样，以后无所不在。浏览网页可以弹出广告，那发email为什么不能在email的前后加点广告呢，用QQ或者MSN会不会也在聊天的中间会给插一些广告呢。这样的结果是流氓软件可能会消失，因为流氓软件花了那么多功夫，其实想做的事情也是这些，还不如运营商来得干脆，我就直接在你网络底层插，你吹咩？

当然，运营商耍流氓的的手段已经不只这个，地方也不限于广东了：

• 电信竟通过路由器篡改网站内容
• cnBeta独家深度报道:关注星空极速的目标 - '占领用户桌面'

如果不加强监管，以后中国互联网会是个什么样子？

• 明天的互联网用户将被满屏幕的插件广告控制

广州电信ADSL停机的快速恢复法

今天早上起来，发现ADSL给停了，对于已经是“数字化生存”的我们来说，简直比停电停水还难受。所以决定探索一个最快恢复ADSL的方法。

1、拿起固定电话拨10000号。“您的电话已欠费停机……”。哦，欠费了就连10000号的免费电话都不给打。不知道110、119这些行不行，没敢试。我记得移动的电话欠费了是可以打1860的。电信啊电信。

2、拿起手机打10000号，还好，移动没有封这个号。以前用神州行是打不通电信的160和所有电信声讯台的，搞得连深圳公安局出入境查询（95000100）都没办法打。

3、按了几个号码，转ADSL的人工服务，询问最快开通ADSL的方法，答曰：缴费后24小时内开通。咨询星期天什么地方可以缴费，或者网上可不可以缴，提示她“交费易”可以吗，答曰可以去“交费易”网站上（www.payeasy.com.cn）缴，不过只支持几种银行卡：招商银行、……，那就OK了，我有招行的卡。

4、用移动GPRS拨号上网，到“交费易”网站上，在点击了很多“同意”、“下一步”、“确定”和等待各个网页下载完成后，终于重定向到招行的支付网关上，发现默认竟然是信用卡，OK，那就用信用卡吧，先用别人的钱感觉还是好一点。

5、支付成功后，马上收到招行发过来的短信，招行的服务还是做得不错的。

6、拿手机打10000号，还是转ADSL人工服务，告诉她我刚刚缴了费，能不能帮我做个操作，开通一下，答曰可以。然后等了大约10分钟左右，ADSL恢复了。

感受：

1、想“数字化生存”，一定要有多种上网手段，比如要开通GPRS。

2、电信的服务比以前好多了。

3、“数字化生存”的另外一个必备的是招行的卡。我发现招行的网上银行、信用卡都是非常不错的服务，而且很多没有用银联的网上支付，最先支持的是招行的卡。

4、很多网站，比如“交费易”，都认为大家是用宽带上网的，每个页面都有很多很大的图形文件，还好，没发现Flash，拜托，学学Google啦。

又一个痛恨中国电信的人

    我上管天，下管地，我最牛B”一个赤裸的疯汉一路狂舞，砸电话亭，抢衣服，推路人，砸汽车，引来了不少的围观的群众。很快福州鼓楼南街派出所的巡逻车来了，安泰派出所的巡逻车也来了。 

　　这个疯汉大约20多岁，全身赤裸的，坐在福州澳门路一家名叫“天使之娇”的美发店里，民警就站在店门口。店员拿来了围布给他遮住身体，疯汉冻得直哆嗦，时不时发出一两声“怒吼”。

　 　附近的路人告诉记者，早上9点，最早他出现在澳门路与道山路的交叉路口处一带的，当时还穿着秋衣秋裤，后来跑到了一家孕妇装店里捣乱了一阵子之后，就在 店里将衣裤都脱了，店主被吓得跑出来。疯汉然后从店里跑出来，一边跳舞一边叫，后又跑到了路边的IP电话亭，拿起电话听筒就砸。还在路边推路人，大家见了 他都远远的跑开，最后才跑到理发店里。

　  看着他冷得发抖，附近的服装店店主给他拿来衣服，还有人送来了裤子。在民警的一再劝说下，疯汉穿起了别人送来的衣裤。

　  你们是警察，P—O—L—I—C—E”疯汉照着民警身上的警服，读起了英语。

　  围观的群众是越来越多，疯汉更来劲了，点起了路边捡来的烟，跑到了路边的服装店里捣乱，被店主打了出来。还拿起了店门口的拖把，砸了路边的小车，很快被民警制止了。这样与民警相持了一个小时之后，疯汉自己上了警车。



台词：叫你封VoIP！叫你乱收费！

中国电信又一次对用户的掠夺

这么多年都是不按自然月收费，突然间中国电信宣布：中国电信元旦起全国实行自然月计费收费，也见：中国电信2006年元旦开始按自然月计费。其中，有这么一段报道：

北京电信提示称，与调整计费周期对应的是，本月为按照自然月缴费前的过渡期，用户的计费周期为11月21日-12月31日，因此用户在明年1月交纳今年12月费用时，统计的费用实际为41天，这可能导致用户发现明年1月交纳的费用比以往月份有所上升。

我原来以为一个月打多11天的电话，费用当然上升啦。我拿到帐单才明白这个费用上升是什么回事，原来ADSL的包月费用为：200元/月，现在变成了：256.44元/月。打10000号问，说是因为多了11天，所以要将包月的费用多收56.44元。按照这样的逻辑，我估计所有的月度费用，包括固定电话的基本月租，也按这个方法多收了费用。大家可以去算算，乘上中国电信用户的数量，这是多么巨大的一个数字。也就是说，如果电信不更改计费方式，我的ADSL再用多几年，也没有这56.44元多出来，它这么更改一次计费方式，说是方便用户，实际上又是对用户的一次掠夺。

在垄断企业的面前，用户永远是弱者。盼望信产部能有所作为。

Update: 电信10000号的客户经理已经证实，确实所有月度费用，包括固定电话月租，都要多收11天的费用。
 

中国电信又无耻了

之前的无耻见：中国电信又封我们的服务器了和中国电信的又一无耻行径。

现在又发现了新招了。就是干扰RTP包。还是假扮对方的IP和端口，发一个Payload Type相同，Sequence加n的干扰包，比如当前的包是G.711 ulaw，最后一个包的Sequence是27，它就会发一个G.711 ulaw，Sequence是30的包过来，由于Jitter Buffer会按Sequence对包重新排序，而且一般会抛弃之后收到的Sequence相同的包（认为是重复的包），那么正常的包就会给抛弃掉，由于插入了一个完全不同的错误包，所以会影响音质。

专门为了这个的解决方式就是让Jitter Buffer抛弃之前收到的Sequence相同的包，而采用最后收到的包。但是这样也非常不保险，如果它多发几个，或者干脆就不加n，直接发Sequence相同的干扰包，这个机制就会失效。最好还是要加密。

 

中国电信的又一无耻行径

我们是做VoIP终端的，最近两条ADSL线全部给电信盯上了。采用SIP（RFC 3261）协议的通话全部受到电信路由器的干扰，估计又是前面说的科技进步奖的一个部分，电信在路由器上假扮服务器的IP地址向我们发送486 Do Not Disturb、CANCEL、BYE等会影响正常通话的信令：

SIP/2.0 486 Do Not Disturb
Via: SIP/2.0/UDP 192.168.2.108;rport;branch=z9hG4bK963861472
From: ;tag=761754553
To: ;tag=323e12a
Call-ID: 691132699@192.168.2.108
CSeq: 4 INVITE
User-Agent: RTC/1.2
Server: SJLabs-SJPhone/1.0
Content-Length: 0

BYE sip:6267475@xxxx.yyy SIP/2.0
Via: SIP/2.0/UDP aaa.bbb.ccc.ddd;branch=z9hG4bKc463.e7787875.0
From: ;tag=728375504
To: ;tag=1158387536
Call-ID: 1215955831@192.168.2.108
CSeq: 2 BYE
User-Agent: RTC/1.2
Content-Length: 0

CANCEL sip:6267475@xxxx.yyy SIP/2.0
Via: SIP/2.0/UDP aaa.bbb.ccc.ddd;branch=z9hG4bKc463.e7787875.0
From: ;tag=728375504
To: ;tag=1158387536
Call-ID: 1215955831@192.168.2.108
CSeq: 1 CANCEL
User-Agent: RTC/1.2
Server: SJLabs-SJPhone/1.0
Content-Length: 0


看来确实花了不少功夫的，里面的各种标识通话的ID全部都正确，只是User-Agent和Server项都是固定的。拜托，做戏要做全套，把这两个域都给做足了，我们就没办法了，也发现不了。目前在申请网通的上网线路，或者连VPN到香港，从香港出去算了，反正我们也是测试产品而已，最终用户都是国外的，不用受中国电信的气。暂时只能用以下的正则表达式过滤电信的发过来的干扰信息，通话一切正常，哈哈。

"486 *[Dd][Oo] *[Nn][Oo][Tt] *[Dd][Ii][Ss][Tt][Uu][Rr][Bb]"
".*[Uu][Ss][Ee][Rr]-[Aa][Gg][Ee][Nn][Tt].*RTC/1.2"
".*[Ss][Ee][Rr][Vv][Ee][Rr].*SJLabs-SJPhone/1.0"
"[Cc][Aa][Nn][Cc][Ee][Ll]"
".*[Uu][Ss][Ee][Rr]-[Aa][Gg][Ee][Nn][Tt].*RTC/1.2"
".*[Ss][Ee][Rr][Vv][Ee][Rr].*SJLabs-SJPhone/1.0"
"[Bb][Yy][Ee]"
".*[Uu][Ss][Ee][Rr]-[Aa][Gg][Ee][Nn][Tt].*RTC/1.2"

中国电信又封我们的服务器了

我们本身做VoIP终端的，在公网上有一部拿来做测试的机器，上面跑Gatekeeper和语音中转服务器，托管在中国电信的机房里面，结果又给封IP了。据说中国电信里面有一个小组专门做这方面的检测，在核心路由器上安装Snifer软件，记录一些和VoIP有关的数据包，发现有异常就封IP。

VoIP在美国和香港都已经定义为电信增值服务，也就是说和互联网上跑的一般email或者www业务没有本质的区别。中国好像还没有相关的规定。

老说要监管互联网，什么时候才能监管运营商的这种行为？