余韬的博客 – 图言兔语,道听兔说！

—-事件回放
2008年12月27日——北方论坛网友“盐打哪咸”使用自家联通(原网通)ADSL宽带上网时发现浏览网站前会在空白页面右下角出现了强制性的弹窗广告，广告来自IP地址为61.136.57.197的服务器；

2008年12月29日——“盐打哪咸”在北方论坛中发帖诉说自己的遭遇，随即有大量网友跟帖表示在使用联通(原网通)ADSL宽带上网过程中也曾遇到类似问题；

2008年12月31日——北方论坛网友“mingrxp”跟帖表示已通过工信部网上申诉系统对天津联通进行了投诉。要求“天津联通立即停止劫持域名解析弹出广告的行为，并双倍返还我当月ADSL使用费”；

2009年1月5日——工信部负责同志致电“mingrxp”询问事件详情；

2009年1月8日——天津联通技术部电话联系到“mingrxp”，称此前对这一事件并不知情，同时承认IP地址61.136.57.197属于狮子林大街网通托管机房，且已经在接到投诉后关闭了该服务器，但没有进一步说明造成这一事件的具体原因。网友“mingrxp”表示“这个结果我不满意”；

2009年1月8日——在前一个电话结束后一会，天津联通再次给 “mingrxp”拨打电话称愿意退还该网友当月网费。

—-弹窗广告的来源分析

本地计算机故障——如果本地计算机中毒或遭到恶意软件的侵害，可能会收到此类广告；

网站本身的弹窗广告——如果您所浏览的网站本身设置了弹窗广告，也会发生类似现象；

宽带业务运营商强制推送——运营商通过技术手段推广其所谓“ADSL推送式广告”。既然消费者为宽带服务支付了费用，就有权利享受干净的宽带接入服务。这种在用户不知情的情况下的广告推送显然侵犯了用户的权益。

——网友分析 宽带运营商adsl推送式广告的实现方式

据网友爆料，有宽带业务运营商推出了一种所谓“ADSL推送式广告”。而且，已经有技术人士指出，这可能是有人在“在某个或某几个关键网络节点上安装了inject设备，从而劫持了用户的HTTP会话”，具体劫持流程分析如下：

A、在某个骨干路由器的边上，躺着一台旁路的设备，监听所有流过的HTTP会话。这个设备按照某种规律，对于某些HTTP请求进行特殊处理。

B、当一个不幸的HTTP请求流过，这个设备根据该请求的seq和ack，把早已准备好的数据作为回应包，发送给客户端。这个过程是非常快的，我们的 HTTP请求发出之后，仅过了0.008秒，就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。

C、因为seq和ack已经被伪造的回应用掉了，所以，真正的服务器端数据过来的时候，会被当作错误的报文而不被接受。

D、浏览器会重新对你要访问的URL进行请求，这一次，得到了请求的真正页面，并且调用window.open函数打开广告窗口。

果真如此的话，那真是太可怕了。

—-“我是知情人！”

如果您也遇到过类似的情况，如果您曾收集到这类不请自来的弹窗广告的截图，如果您知道这类神秘广告的身世和背景，如果您了解这些广告的发生原理和屏蔽方式，那么请您为我们提供线索，一起来把这个讨厌的弹窗广告从我们的电脑中请出去。还是那句老话：明明白白消费，本本分分做人！

请您将您所遇到的情况在跟帖中详细说明(最好注明您的IP地址，所用的宽带服务类型以及发现弹窗广告的时间等)。也欢迎发送邮件至
hongtaostaff.enorth.cn或致电(022)83712001－8038与我们取得联系。
原帖地址：http://it.enorth.com.cn/system/2009/01/15/003866015.shtml