这是一个创建于 2792 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前可见特征就是会引用 http://1.1.1.2:89/cookie/flash.js 这个 js ,然后会设置个 cookie
ttl 固定为 127 , HTTP FLAG 为 FIN,PSH,ACK
目前用 iptables -I FORWARD -p tcp --sport 80 -m ttl --ttl 127 -j DROP
过滤后,会出现 RST 的情况,这种是深信服向目标服务器发送了 RST 包么=。=
wireshark下可以看到正确的包,应该属于抢包行为,难道是因为我这个iptables命令太弱了的原因=。=
ttl 固定为 127 , HTTP FLAG 为 FIN,PSH,ACK
目前用 iptables -I FORWARD -p tcp --sport 80 -m ttl --ttl 127 -j DROP
过滤后,会出现 RST 的情况,这种是深信服向目标服务器发送了 RST 包么=。=
wireshark下可以看到正确的包,应该属于抢包行为,难道是因为我这个iptables命令太弱了的原因=。=
 |
1
aabbaa2000 2016-09-01 09:23:27 +08:00 via Android
在 telnet 里手工输入 http 请求,就会发现不会被劫持,也能访问被深信服屏蔽的网站。因此我的方法是写个本地 http 代理,把每个请求拆开,先发第一个字节,然后发剩下的部分,就不会被劫持了。
|
 |
2
ovear OP 记录下。。如果用 u32
iptables -I FORWARD -p tcp -m tcp --sport 8000 -m u32 --u32 "5&0xFF=0x7F:0x80" -j DROP iptables -I FORWARD -p tcp -m tcp --sport 8000 -m u32 --u32 "5&0xFF=0x7F" -j DROP 参考 https://imlonghao.com/30.html |
 |
3
ech0x 2018-09-23 18:21:56 +08:00
是个老帖了,我想问一下是访问什么的时候会有劫持行为?登录页面吗?
|
Select Language