段网，全新分区安装WIN2KAD SERVER SP4，没装任何软件，断网打补丁从SP4后到08年4月，再连网，用windows update更新补丁，更新过程中却弹出广告网页
现在可以断定是网通的原因，我在机器上抓了包，而且抓包的过程都有网页弹出，请哪位高手帮我分析下，劫持包的设备ip或者MAC地址，那就好办了

恶意广告地址
http://www.ldjy2012.cn/free.asp?uid=1
http://www.topllldddooo.cn/free.asp?uid=1


一个是在IDC机房用sniffer抓的
另一个是在单位用adsl上网抓的

弹ie窗口，和抓包有直接关系么。

回复没法贴图片

因为从微软的更新网站反回来的数据的时候，在数据包中加这样一段代码
<html><meta http-equiv='Pragma' content='no-cache'><meta http-equiv='Refresh' content='0;URL='><script LangUage='JavaScript'>{child=window.open('http://www.ldjy2012.cn/free.asp?uid=1','','width=800,height=600,toolbar=yes,menubar=yes,location=yes,resizable=yes,status=yes');child.blur();}</script><head><title></title></head><body></body></html>

我用Excel打开简单看了下

首先根据你提供的信息,我搜索free这个单词
找到我把对应的summary变了颜色

往前看一点,发现本机主动去解析这个域名www.ldjy2012.cn,情况和描述相仿


那么是什么引起的呢?, 往上翻几行

可以看到最近的HTTP的返回很奇怪. 加黄色这一行上可以看到尽管数据返回显示成功,但是其TTL(加红底)和其他数据不同. 而且之后本机反馈ACK这个数据包,但是对方却发送RST中止了此连接. (因为真实的微软主机不知道当中夹杂着个怪包,看到不可以理解TCP ACK Sequence 就中断了连接)

选中过滤源地址可以验证此问题


可以看到只有这一个包有特例


可以确认有中间设备IP欺骗干了此事.

引用:

原帖由 Vader 于 2008-6-4 21:57 发表
我用Excel打开简单看了下

首先根据你提供的信息,我搜索free这个单词
...

请问“因为真实的微软主机不知道当中夹杂着个怪包,看到不可以理解TCP ACK Sequence 就中断了连接”这句话怎么理解？从7034到7039，把每个包的seq num、ack num都算了一遍，都是一一对应并无出入啊，微软主机难道只是判断ttl不一致就发出fin标记？不明白，请多多指点，谢谢

引用:

原帖由 gwdwx 于 2008-6-5 01:47 发表


请问“因为真实的微软主机不知道当中夹杂着个怪包,看到不可以理解TCP ACK Sequence 就中断了连接”这句话怎么理解？从7034到7039，把每个包的seq num、ack num都算了一遍，都是一一对应并无出入啊，微软主机难道 ...

刚刚看到rst  是本机发送的，引用的那句话作废

网内欺骗，我已经碰到过多次这种案例，

大家能帮我查出劫持包的设备ip或者MAC地址吗？跪谢！！！

那个ttl是56，大概可以证明那个设备到我的机器要经过8跳对吗

运营商搞的鬼把~

引用:

原帖由 Vader 于 2008-6-4 21:57 发表
我用Excel打开简单看了下

首先根据你提供的信息,我搜索free这个单词
找到17244我把对应的summary变了颜色

往前看一点,发现本机主动去解析这个域名www.ldjy2012.cn,情况和描述相仿
17245

那么是什么引起的 ...

辛苦了，谢谢你，你分析的很对，但这个结果是已经知道的了，能进一步分析下么，譬如设备的ip或者一个模糊的思路也可，感觉你说着说着就突然不说了。

记得坛子里好像有人介绍过电信宽带上网应用TCP劫持＆DNS欺骗的文章，
应该和这个差不多吧