【请MJJ复现】大葱省联通4G跳huang网 求教排查方案

查看 130|回复 11
作者:Xiaomage2333   
   
2.23晚update
重启飞行模式,切换IP 以及切换浏览器,用不同的浏览器复现的几率较高
刚刚验证 http://gubo.org 可以复现,同为大葱省联通的MJJ可以试试
更多出现问题的网站正在验证
======
RT,最近发现我的1IP小站跳在联通4G的网络下,每天第一次访问跳H网。因为种种原因并没有开HSTS,因此第一次访问还是HTTP,每天第一次访问必跳H网,跳转完之后哪怕强制使用HTTP访问都不能再复现了,每天只会出现一次。复现的话每天只有一次机会,每天0点重置。
tcpdump用wireshark分析如下,正常的TTL是49,可是突然返回了TTL为230的一个包,这个包有问题:


很长时间了,去年夏天就有,访问古博测评站天天跳,没想到自己的站也开始了,是联通在搞HTTP劫持吗?请教大佬如何排查和硬刚联通?
抓包的时候开了DOT,因此应该不是DNS劫持,就是HTTP劫持。
我把一个子域名解析到了联通测速平台上,明天再试试,看看是不是根据域名SNI判断是否要劫持的,因为直接访问CF IP的80端口并没有被劫持。
另外我在cf worker上新起了一个hello world,明天试试,排除服务器挂马问题。
======
多半是联通干的,找到了类似的受害案例,20年就开始了,联通内鬼应该赚大了

大葱, 大佬, 自己的

zutianrun   
老早就发现这个问题了,我江苏联通的卡,在山东省会用,拜访地接入,有时候就会跳H网,而且还不能复现
逼哥   
可能不止4G网(只是你在4G网络下用移动设备会跳转误以为只有4G才会跳转)山东联通家宽用手机访问网站也跳XX,应该是做了识别,移动设备下才会跳转,毕竟现在都是app了,PC跳没什么意义!
去年下半年开始已经出现好几次了,只是不知道什么样的情况下能复现,反正偶尔就会跳一次。

simonw   
先看服务器WEB日志,请求有没有到达服务器,注意内容size,是不是正常,可以URI使用一个不存在的地址,返回404,更容易对比。
可以试试换本地IP,应该能复现。
FeiLai   
联通的内鬼搞的
Xiaomage2333
OP
  

FeiLai 发表于 2024-2-23 09:47
联通的内鬼搞的

我感觉也是 联通劫持一搜一把 电信干的就很少
机长   
51.la maccms lnmp .org 这三个养马场排查下
simonw   
看了下包里的IP,你是开了CF的PROXY吧,关了试试。有可能是劫持的CF的IP。
Xiaomage2333
OP
  

机长 发表于 2024-2-23 10:01
51.la maccms lnmp .org 这三个养马场排查下

感谢提醒,但是这三个都没用到,只是我树莓派上的一个smokeping,docker搭的,用cloudflare tunnel内网穿透出来我自己看 你提到的这三个确实容易出问题
蜗牛也是牛   
试试打电话投诉到联通宽带投诉下,我以前的电信宽带,有段时间经常跳广告,去投诉dns劫持,客服还说没劫持,投诉后一两天,就不跳广告了
您需要登录后才可以回帖 登录 | 立即注册

返回顶部