怎么抓那台推送广告的设备？

本地 wireshark 保存所有流量，然后慢慢分析。

已经习惯天天挂代理了根本不再见到推广页面，昨天手机刚 root 下 酷市场才发现被电信赤裸裸的换成应用宝，这要推个病毒来。。。。

@virusdefender 我抓过挟持 hao123 的，会用 iptables 把他干掉，但是设备的位置不会推测。

@datocp 论 https 的重要性。

不得不说，频繁的劫持也是有助于大家都启用 https 的

@imlonghao 参考 http://security.tencent.com/index.php/blog/msg/10

ttl 也可以大致的反查位置

1.凭我的经验，推送设备通常是个旁路设备，你根本不可能抓住推送设备的 IP ，更不用说它的 IP 可能只是个内网 IP 。
2.即使抓住推送设备的 IP 也没用，因为它是伪装成你访问的目的机器工作的，换句话说，伪造的数据包的源 IP 是你访问的目标机器。
3.如果推送机器伪造的数据包没有使用随机 TTL 的话，可以通过抓 TTL 大致推断它所处的位置。

无解，哪怕运营商自己要查也很困难？ Netflow ？流量采集样本太大， TTL 反推？人家一个可变 TTL 就搞晕你了。有办法反查那也是运营商的人才有办法

ttl 由 1 递增发请求，如果递增到 x 的时候，开始有广告返回的话就能确定在那一跳出问题了。