中国电信DNS骑劫的严重后果

技术贴，所以放在《歪歪猪作坊》上。

http://techblog.yypig.net/2007/07/dns.html

预言成真

之前在讲电信耍流氓的时候，已经提到了我的担忧，就是拿来推广告的服务器如果给劫持了怎么办？看了已经是现实了，据cnBeta报道，已经有网友发现了成都电信劫持Http的服务器，推给用户的网页已经给人插入了恶意代码。这个比推广告的服务器被入侵更加严重。因为劫持HTTP的动作至少要在接入服务器或者路由器上才能实现，如果报道属实，说明被黑客入侵的不是那部推广告的服务器，而是电信的ADSL接入服务器或者路由器，这个危害更大，因为利用这部服务器，黑客可以更加为所欲为，甚至可以假扮网上银行的页面，或者直接对用户的数据抓包，窃取里面的密码等资料。如果用户因为这个造成损失，完全可以去告中国电信妨碍通讯自由。

监管部门去了哪里了呢？该出来说句话吧？

警惕DNS缓存中毒攻击

最近在访问www.pheedo.com和www.openitpower.com的时候，发现了中国电信广东省的3个DNS服务器202.96.128.68、202.96.128.86和202.96.128.166好像受到了DNS缓存中毒攻击，经常会返回216.221.188.182或65.104.202.252等无法访问的地址，而且存活（TTL，Time To Live）时间被设成很长的时间，大约是15个小时。由于Windows会按照这个时间去缓存DNS，所以造成网站在一段很长的时间内无法访问。如果有人遇到这样的情况，可以按照下列方式解决，点击“开始”>“运行”，打入CMD，会出现黑底白字的命令行窗口，输入下列指令“ipconfig /flushdns”并按回车。然后再试试是否可以访问网站。深圳电信的DNS服务器202.96.134.133好像没有这个问题。

我们遇到网站访问不了，通常都会以为是被G～F～W了，下次可以先用这个排除一下。 最好的做法是在访问正常的时候，把域名和IP地址加到hosts文件中。

Update:2007/03/28

Google返回的两个奇怪的IP，找到了下面的文章，其中好像好像一个IP曾经用作下载木马的服务器。警惕，警惕！

• 病毒资料：W32/Spybot.MLR-net
• International DNS compromise?

广州电信又开始插广告了

之前投诉过广州电信ADSL骑劫HTTP协议，强行插入弹出式广告的问题。后来发现消失了，这段时间又开始出现了，用中仙步的话说叫：“沉渣泛起”。这次非常隐秘，只要访问特定的网站才会出来，目前发现2个肯定会出现的，一个是国际电影数据库（International Movie Database)http://www.imdb.com/ ，另一个是凤凰网http://www.phoenixtv.com/。使用的方法和以前一样，也是在HTTP协议里面插入一段script，强制打开一个弹出式窗口，指向http://219.133.33.46/adportal/portal1.aspx这个页面，然后会给重定向到一个电影网站：http://film.movievnet.com/。然后会重新让浏览器去加载原来想要访问的网站。219.133.33.46这部机器还是原来那部，用的是Windows Server 2003 Enterprise Edition，IIS6作为Web服务器。开了一堆端口：

• 22/tcp open ssh
• 80/tcp open http
• 135/tcp open msrpc
• 445/tcp open microsoft-ds
• 1025/tcp open NFS-or-IIS
• 1026/tcp open LSA-or-nterm
• 2030/tcp open device2
• 3000/tcp open ppp
• 3389/tcp open ms-term-serv
• 3531/tcp closed peerenabler
• 5001/tcp open commplex-link
• 5631/tcp open pcanywheredata
• 6000/tcp closed X11
• 6666/tcp closed irc-serv
• 8000/tcp closed http-alt

这次相对比较隐蔽，打开的端口的首页中不敢出现任何信息，比如3000端口进去是这个样子的：

5001端口进去是这样子的，还是有敖天的信息在里面：

之前相关的链接：

• 广州电信耍流氓
• 电信耍流氓的新变化
• 事情解决了

目前会弹出窗口的网站，

• 国际电影数据库（International Movie Database）（http://www.imdb.com）
• 凤凰网（http://www.phoenixtv.com/）
• VeryCD（http://www.vercd.com/）

其他人也碰到了：

• 强制弹窗: 电信广告现身广州

中国电信114网络搜索的后端是谁？

最近查看我的Blog的服务器的日志的时候，发现有人是通过114.vnet.cn搜索过来的，发现是搜索“乔迁之喜”，第一条就是这个博客，我忽然想起以前也试过有百度的用户搜索相同内容连到我这里的，所以就猜想114搜索的后端会用谁呢？结果测试了几个，发现它和百度的搜索结果是一模一样的，连右边的广告的结果都是一样的，几乎可以肯定就是用了百度的服务。大家可以试试看。 不知道广告和竞价排名和百度是怎么分成的。

Update: 2006/09/19

今天发现114网络搜索上多了个“技术支持：Windows Live”的字样，测试一下，看来后端换成了“Live 搜索”。可以试试搜“brad pitt”，Live搜索的结果中，多了第一条的imdb的数据，其他两家一模一样。

相关连接：

• 中国电信强推114网络搜索引擎
• 中电信搜索业务浮出水面 微软2100万美元支持
• 中电信采用微软live搜索技术 不推竞价广告

事情解决了

今天ADSL断了一次线又恢复之后，所有的弹出窗口终于没有了。看来我的投诉起作用了。

这次对于电信的投诉是一次愉快的经历。

在第一次发现有弹出窗口时，我马上打了广州电信的10000号投诉，接电话的小姐告诉我她不清楚这件事情，而且由于涉及到复杂的技术问题，她会通知专门的技术人员联系我。当天我马上收到了电信的技术人员的电话，我就把我遇到的问题向他作了说明，还把推送广告的服务器IP告诉他，并且告诉他服务器开了哪些端口，为什么可以确认服务器是广州电信自己的。技术人员礼貌地说会去了解情况，并在调查清楚之后给一个答复给我。

几天之后，有另外一个人员打电话给我，继续向我了解情况，并询问问题解决没有，有没有碰到新的弹出窗口。因为当时已经没有弹出窗口，只是在访问招行的网站时，会弹一个窗口，而且这次的推送服务器在深圳。我就如实地反应了这个情况。同样，打电话地人也礼貌地说会继续调查这件事情，而且强调他们领导已经知道了这个情况，正在处理。

今天，同一个人又给电话我，也是同样询问了问题解决没有，我和他说，连接招行的网站，还是有弹出窗口，其他情况就没有。他说他们会继续关注这件事情，而且这次他还提到了深圳傲天，说会和他们联系，看看是不是系统出现了什么问题。

今天的晚些时候，发现上招行的网站也没有弹出窗口了。看来事情是解决了。

通过这件事情，可以看出电信已经有了一些进步：

1. 开始重视用户的投诉了。再也不是那个高高在上的电信了，开始会重视普通用户的投诉了。以前试过帮一个公司装邮件服务器，那个公司还是电信的大客户，只是希望电信帮忙设一个DNS反查服务，结果没人理，客户代表还大声说，你可以转用其他运营商啊，但是这个区域内，其他运营商是没有线路给你提供接入的。
2. 开始以一个负责任的大公司的形象出现。所有的接线员、工程师都非常有礼貌，态度诚恳而且耐心听你的投诉和解释问题。愿意正视问题，不会象以前那样遮遮掩掩。比如这次，他们就“大胆”地提到了他们的供应商的名字。

我是一个不相信有救世主的人，结合上次恢复停机ADSL的情况，我相信，国内电信市场的激烈竞争，国外运营商的虎视耽耽，Skype这样的新兴技术的引入，运营商会的服务会更加改善，费用会更加低廉。

电信耍流氓的新变化

上次发现电信耍流氓之后，向10000号投诉了一下，专门还有人打电话给我说他们正在调查这件事情，之后就发现不会再弹窗口了。不过在上招行的网站的时候，还是会弹，在linux下，用lynx这个字符浏览器追踪了一下，打入：lynx -mime_header http://www.cmbchina.com，返回这样的结果：

这次给重定向到了219.133.33.46这部服务器，IP地址是深圳的，同样通过端口扫描，发现了3000端口上的内容是这样的：

这次换成了深圳电信，技术支持还是深圳傲天。

有几种可能：

1. 把拦截的路由器放到了深圳。
2. 还是广州在做拦截，只是服务器放到了深圳，因为在深圳连接招行的网站是没有问题的。广州的非ADSL连过去也是没有受到拦截。

广州电信耍流氓

中国互联网上充满着各种流氓，大家感受最深的是“流氓软件”。不过现在有一个可以管得住一百多号流氓的东西－“360安全卫士”。大家并不见得有多喜欢周鸿袆，只不过给流氓欺负惯了，突然有个人站出来主持公道，大家也就自然傍了过去，也不管他之前也是个大流氓和以后耍不耍流氓了。其实对付电脑上的流氓还好办，最多我用Firefox或者装什么spybot、超级兔子或者现在的360安全卫士。但是有一种流氓是很难对付的，那就是运营商的流氓行为。比如，运营商调整个计费日期，就可以从用户手上多收一大堆钱，或者电信破坏VoIP的行为。

为什么说难对付，因为运营商掌握了网络的传输介质，它可以在任何一层做手脚，用户端是无能为力的，比如假扮IP，用户端根本无法分辨数据是否真的是由对方IP发过来的。所以装什么样的软件，做什么样的拦截都是徒劳的，除非换一家不耍流氓的运营商。之前拦截VoIP的时候，电信已经采用了假扮IP的办法。最近发现正常的浏览网页，广州电信也用了同样的方法干扰，目的还不是很清楚。最近上网的时候，发现浏览器总会弹出一个指向http://59.42.71.199/ndatin.aspx的窗口，最初以为是又中了什么插件，查了很久没有发现什么异常，窗口还是照弹。用google一搜，发现了很多介绍这个的文章：

• 防止电信级的网络尖兵劫持监测
• 广州ADSL用户被恶意拦截-电信获取路由内网主机数的手段之一
• 中国电信广州分公司严重侵犯用户私隐权

总的来说，就是电信为了某种目的，使用在路由器假扮IP的方法，向用户发送数据包，我通过抓包，发现了这样一段代码：

懂html的人就知道怎么回事，假扮对方IP，发送这么一段代码，先弹一个指向http://59.42.71.199/ndatin.aspx的窗口出来，再马上重定向到你真正想去的网站上。如何知道是假扮的，其实还有一个办法是看http协议的头，这个http标记的服务器是：Server: Apache/2.0.43 (Unix)，而实际上，我网站上用的apache的版本是1.3的。

打10000号，电信的人死活不承认是电信搞的东西，所以我又做了一点功课，通过端口扫描，我发现59.42.71.199开了好几个端口，其中800端口打开是这样的：

3000端口打开是这样的：

6000端口打开是这样的：

7000端口打开是这样的：

看来后台老板是广州电信，但是干活的是深圳傲天了。

关于这件事情，我有几个担忧：

1. 假扮IP是不是妨碍通讯自由，因为妨碍通讯自由是违法的。
2. 电信如何保证这种方法不被滥用或者用于违法的目的。比如假扮网上银行的IP，把你访问的网上银行的页面替换成另外一个服务器的页面，和原来网上银行的看起来一样的，骗取你的帐号和密码。
3. 如果拿来推广告或者有其他目的的服务器给别人骑劫了怎么办。59.42.71.199这部机器是Windows 2003，用的是IIS6，而且打开了远程终端和PC Anywhere的端口，如果IIS6出现了另外一个安全漏洞，这部机器给人骑劫了，拿来当成传播病毒，或者钓鱼的工具怎么办。
4. 如果纵容这种现象，会不会又象流氓软件一样，以后无所不在。浏览网页可以弹出广告，那发email为什么不能在email的前后加点广告呢，用QQ或者MSN会不会也在聊天的中间会给插一些广告呢。这样的结果是流氓软件可能会消失，因为流氓软件花了那么多功夫，其实想做的事情也是这些，还不如运营商来得干脆，我就直接在你网络底层插，你吹咩？

当然，运营商耍流氓的的手段已经不只这个，地方也不限于广东了：

• 电信竟通过路由器篡改网站内容
• cnBeta独家深度报道:关注星空极速的目标 - '占领用户桌面'

如果不加强监管，以后中国互联网会是个什么样子？

• 明天的互联网用户将被满屏幕的插件广告控制

广州电信ADSL停机的快速恢复法

今天早上起来，发现ADSL给停了，对于已经是“数字化生存”的我们来说，简直比停电停水还难受。所以决定探索一个最快恢复ADSL的方法。

1、拿起固定电话拨10000号。“您的电话已欠费停机……”。哦，欠费了就连10000号的免费电话都不给打。不知道110、119这些行不行，没敢试。我记得移动的电话欠费了是可以打1860的。电信啊电信。

2、拿起手机打10000号，还好，移动没有封这个号。以前用神州行是打不通电信的160和所有电信声讯台的，搞得连深圳公安局出入境查询（95000100）都没办法打。

3、按了几个号码，转ADSL的人工服务，询问最快开通ADSL的方法，答曰：缴费后24小时内开通。咨询星期天什么地方可以缴费，或者网上可不可以缴，提示她“交费易”可以吗，答曰可以去“交费易”网站上（www.payeasy.com.cn）缴，不过只支持几种银行卡：招商银行、……，那就OK了，我有招行的卡。

4、用移动GPRS拨号上网，到“交费易”网站上，在点击了很多“同意”、“下一步”、“确定”和等待各个网页下载完成后，终于重定向到招行的支付网关上，发现默认竟然是信用卡，OK，那就用信用卡吧，先用别人的钱感觉还是好一点。

5、支付成功后，马上收到招行发过来的短信，招行的服务还是做得不错的。

6、拿手机打10000号，还是转ADSL人工服务，告诉她我刚刚缴了费，能不能帮我做个操作，开通一下，答曰可以。然后等了大约10分钟左右，ADSL恢复了。

感受：

1、想“数字化生存”，一定要有多种上网手段，比如要开通GPRS。

2、电信的服务比以前好多了。

3、“数字化生存”的另外一个必备的是招行的卡。我发现招行的网上银行、信用卡都是非常不错的服务，而且很多没有用银联的网上支付，最先支持的是招行的卡。

4、很多网站，比如“交费易”，都认为大家是用宽带上网的，每个页面都有很多很大的图形文件，还好，没发现Flash，拜托，学学Google啦。

又一个痛恨中国电信的人

    我上管天，下管地，我最牛B”一个赤裸的疯汉一路狂舞，砸电话亭，抢衣服，推路人，砸汽车，引来了不少的围观的群众。很快福州鼓楼南街派出所的巡逻车来了，安泰派出所的巡逻车也来了。 

　　这个疯汉大约20多岁，全身赤裸的，坐在福州澳门路一家名叫“天使之娇”的美发店里，民警就站在店门口。店员拿来了围布给他遮住身体，疯汉冻得直哆嗦，时不时发出一两声“怒吼”。

　 　附近的路人告诉记者，早上9点，最早他出现在澳门路与道山路的交叉路口处一带的，当时还穿着秋衣秋裤，后来跑到了一家孕妇装店里捣乱了一阵子之后，就在 店里将衣裤都脱了，店主被吓得跑出来。疯汉然后从店里跑出来，一边跳舞一边叫，后又跑到了路边的IP电话亭，拿起电话听筒就砸。还在路边推路人，大家见了 他都远远的跑开，最后才跑到理发店里。

　  看着他冷得发抖，附近的服装店店主给他拿来衣服，还有人送来了裤子。在民警的一再劝说下，疯汉穿起了别人送来的衣裤。

　  你们是警察，P—O—L—I—C—E”疯汉照着民警身上的警服，读起了英语。

　  围观的群众是越来越多，疯汉更来劲了，点起了路边捡来的烟，跑到了路边的服装店里捣乱，被店主打了出来。还拿起了店门口的拖把，砸了路边的小车，很快被民警制止了。这样与民警相持了一个小时之后，疯汉自己上了警车。



台词：叫你封VoIP！叫你乱收费！

中国电信又一次对用户的掠夺

这么多年都是不按自然月收费，突然间中国电信宣布：中国电信元旦起全国实行自然月计费收费，也见：中国电信2006年元旦开始按自然月计费。其中，有这么一段报道：

北京电信提示称，与调整计费周期对应的是，本月为按照自然月缴费前的过渡期，用户的计费周期为11月21日-12月31日，因此用户在明年1月交纳今年12月费用时，统计的费用实际为41天，这可能导致用户发现明年1月交纳的费用比以往月份有所上升。

我原来以为一个月打多11天的电话，费用当然上升啦。我拿到帐单才明白这个费用上升是什么回事，原来ADSL的包月费用为：200元/月，现在变成了：256.44元/月。打10000号问，说是因为多了11天，所以要将包月的费用多收56.44元。按照这样的逻辑，我估计所有的月度费用，包括固定电话的基本月租，也按这个方法多收了费用。大家可以去算算，乘上中国电信用户的数量，这是多么巨大的一个数字。也就是说，如果电信不更改计费方式，我的ADSL再用多几年，也没有这56.44元多出来，它这么更改一次计费方式，说是方便用户，实际上又是对用户的一次掠夺。

在垄断企业的面前，用户永远是弱者。盼望信产部能有所作为。

Update: 电信10000号的客户经理已经证实，确实所有月度费用，包括固定电话月租，都要多收11天的费用。
 

中国电信又无耻了

之前的无耻见：中国电信又封我们的服务器了和中国电信的又一无耻行径。

现在又发现了新招了。就是干扰RTP包。还是假扮对方的IP和端口，发一个Payload Type相同，Sequence加n的干扰包，比如当前的包是G.711 ulaw，最后一个包的Sequence是27，它就会发一个G.711 ulaw，Sequence是30的包过来，由于Jitter Buffer会按Sequence对包重新排序，而且一般会抛弃之后收到的Sequence相同的包（认为是重复的包），那么正常的包就会给抛弃掉，由于插入了一个完全不同的错误包，所以会影响音质。

专门为了这个的解决方式就是让Jitter Buffer抛弃之前收到的Sequence相同的包，而采用最后收到的包。但是这样也非常不保险，如果它多发几个，或者干脆就不加n，直接发Sequence相同的干扰包，这个机制就会失效。最好还是要加密。

 

中国电信的又一无耻行径

我们是做VoIP终端的，最近两条ADSL线全部给电信盯上了。采用SIP（RFC 3261）协议的通话全部受到电信路由器的干扰，估计又是前面说的科技进步奖的一个部分，电信在路由器上假扮服务器的IP地址向我们发送486 Do Not Disturb、CANCEL、BYE等会影响正常通话的信令：

SIP/2.0 486 Do Not Disturb
Via: SIP/2.0/UDP 192.168.2.108;rport;branch=z9hG4bK963861472
From: ;tag=761754553
To: ;tag=323e12a
Call-ID: 691132699@192.168.2.108
CSeq: 4 INVITE
User-Agent: RTC/1.2
Server: SJLabs-SJPhone/1.0
Content-Length: 0

BYE sip:6267475@xxxx.yyy SIP/2.0
Via: SIP/2.0/UDP aaa.bbb.ccc.ddd;branch=z9hG4bKc463.e7787875.0
From: ;tag=728375504
To: ;tag=1158387536
Call-ID: 1215955831@192.168.2.108
CSeq: 2 BYE
User-Agent: RTC/1.2
Content-Length: 0

CANCEL sip:6267475@xxxx.yyy SIP/2.0
Via: SIP/2.0/UDP aaa.bbb.ccc.ddd;branch=z9hG4bKc463.e7787875.0
From: ;tag=728375504
To: ;tag=1158387536
Call-ID: 1215955831@192.168.2.108
CSeq: 1 CANCEL
User-Agent: RTC/1.2
Server: SJLabs-SJPhone/1.0
Content-Length: 0


看来确实花了不少功夫的，里面的各种标识通话的ID全部都正确，只是User-Agent和Server项都是固定的。拜托，做戏要做全套，把这两个域都给做足了，我们就没办法了，也发现不了。目前在申请网通的上网线路，或者连VPN到香港，从香港出去算了，反正我们也是测试产品而已，最终用户都是国外的，不用受中国电信的气。暂时只能用以下的正则表达式过滤电信的发过来的干扰信息，通话一切正常，哈哈。

"486 *[Dd][Oo] *[Nn][Oo][Tt] *[Dd][Ii][Ss][Tt][Uu][Rr][Bb]"
".*[Uu][Ss][Ee][Rr]-[Aa][Gg][Ee][Nn][Tt].*RTC/1.2"
".*[Ss][Ee][Rr][Vv][Ee][Rr].*SJLabs-SJPhone/1.0"
"[Cc][Aa][Nn][Cc][Ee][Ll]"
".*[Uu][Ss][Ee][Rr]-[Aa][Gg][Ee][Nn][Tt].*RTC/1.2"
".*[Ss][Ee][Rr][Vv][Ee][Rr].*SJLabs-SJPhone/1.0"
"[Bb][Yy][Ee]"
".*[Uu][Ss][Ee][Rr]-[Aa][Gg][Ee][Nn][Tt].*RTC/1.2"

中国电信又封我们的服务器了

我们本身做VoIP终端的，在公网上有一部拿来做测试的机器，上面跑Gatekeeper和语音中转服务器，托管在中国电信的机房里面，结果又给封IP了。据说中国电信里面有一个小组专门做这方面的检测，在核心路由器上安装Snifer软件，记录一些和VoIP有关的数据包，发现有异常就封IP。

VoIP在美国和香港都已经定义为电信增值服务，也就是说和互联网上跑的一般email或者www业务没有本质的区别。中国好像还没有相关的规定。

老说要监管互联网，什么时候才能监管运营商的这种行为？