奇怪的网址

随便注册

http://tieba.baidu.com/_PXRD_58e742d917ddb73908854a_http://bbs.kafan.cn/

大家打开是跳转http://bbs.kafan.cn/还是百度的error.html？http://bbs.kafan.cn/可以换，但前面的“乱码”改任一字符就不跳转了，https://tieba.baidu.com也不行。不知是不是新劫持。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
继续排查，重现需要两个条件，如果大家重现不了，那基本就是网络问题了。

Chrome核心浏览器。测了原版49、Vivaldi，其它浏览器伪装UA为Chrome也跳，而Chrome伪装成其它浏览器则不跳。
特定网址。如http://www.weather.com.cn/weather/101010100.shtml

首页不跳，下级页面跳
http://weather.com.cn/
http://www.weatherdt.com/
http://www.nmc.gov.cn/

UA检测规则推测为：Mozilla/0000(Windows NT  Win6400) Chrome/
0表示此处应有至少1个字符，其它不可替换。

要不是广告过滤需要弄了个假域名给跳出去了，还发现不了呢。  

可以这样测试，host屏蔽0.0.0.0 tieba.baidu.com，因为需要tieba.baidu.com中转，结果就会如图

RoyalFlare

贴吧404页面 找不到网页.

悠游

同上：“您的访问出错了。“

峪飞鹰

楼主要知道是不是劫持，装个fiddler就可以了，看http报文是怎么返回的，大概就知道了。我这里无法重现，所以高度怀疑是劫持。不过fiddler只能看应用层的数据，链路层看不到，所以如果要真正抓证据去举报isp，最好用wireshark。

随便注册

峪飞鹰 发表于 2017-4-22 10:59
楼主要知道是不是劫持，装个fiddler就可以了，看http报文是怎么返回的，大概就知道了。我这里无法重现，所 ...

现在没了！你讲的那两个软件刚装上，准备大干一场，它没了！

一周前Vivaldi启动时打开的天气网页总是不对，刷新一次就好，也没当回事。直到昨天多刷了几次，一会好一会不好。

发现时用的过滤软件Proxydomo，日志中接收网站返回信息是302，后面是Location: http://tieba.baidu.com/_PXRD_58e742d917ddb73908854a_http://www.weather.com.cn/weather/101010100.shtml，能不能说明是网络问题？

刚还在想，直接打开http://www.weather.com.cn/weather/101010100.shtml也跳一次tieba，那应该死循环啊，难道还几秒钟内不持续劫持？现在只能等它再现了。

峪飞鹰

随便注册 发表于 2017-4-22 13:27
现在没了！你讲的那两个软件刚装上，准备大干一场，它没了！

一周前Vivaldi启动时打开的天气网页总是 ...

这种劫持99.99999999999%就是isp干的，他们劫持你成功一次之后，当天不会再劫持了，等第二天再看看。

mifanu

你这个网址应该是从贴吧点的吧。贴吧对帖子里的网址进行了复杂化。

随便注册

mifanu 发表于 2017-4-22 15:39
你这个网址应该是从贴吧点的吧。贴吧对帖子里的网址进行了复杂化。

嵌在自做页面里的框架，直接的。

随便注册

峪飞鹰 发表于 2017-4-22 14:28
这种劫持99.99999999999%就是isp干的，他们劫持你成功一次之后，当天不会再劫持了，等第二天再看看。

又来了，抓了，就是302，源头不清楚。
装了个改UA扩展，好像是能避开。也只能这样了，还以为我中招了。
劫持后，大约5秒内继续打开不会重现，所以不死循环。
tieba也有返利了？还是特定UA特定网址，能挣到钱吗？是不是搞什么神秘测试，忘了恢复

上一条是正常Get天气网址，下一条就是302返回，其它看不懂

峪飞鹰

随便注册 发表于 2017-4-22 22:41
又来了，抓了，就是302，源头不清楚。
装了个改UA扩展，好像是能避开。也只能这样了，还以为我中招了。
...

嗯，你在wireshark里看看baidu的正常请求（就是不是302的http response）TTL和这个302的TTL是不是一样，不一样基本上可以判定是劫持设备返回的。