三招阻止ISP“耍流氓”

很多使用小区宽带、ADSL和Cable MODEM的用户都遇到过这样的情况，当我们拨号上网成功之后，系统会立即弹出ISP运营商(又称电信级ISP运营商，如中国电信，中国网通等)的广告，或者打开网络浏览器的首页是ISP运营商的广告网址等。久而久之，这种“耍流氓”的强制广告方式就非常让人厌烦。那有什么办法可以“斩断”这些广告呢?请接着往下看。

以前大家所熟悉的流氓广告，在安全软件厂家与社会舆论的联合打击下，日益衰落。正当大家还没来得及高兴的时候，强势的ISP运营商又推出一种IE(微软的网络浏览器)强制式广告，它在北方网通或者南方电信处于强势的地区泛滥严重，不管是ADSL宽带还是基于LAN的小区宽带都会无一例外地出现这种广告。

ISP运营商在每个地区所采用的强制广告的形式与方法均有所不同，其弹出的内容也是各异。大体上有三种类型：

1．弹出式广告。用户拨号成功以后，就会在桌面上自动弹出一个广告对话框，形式跟大多数流氓软件雷同，内容多为“xx热线”或者“互联星空”，广告连接地址指向当地ISP运营商所属的门户网站(图1)。使用“星空急速”拨号的用户最容易受到这种强制广告的骚扰。

2．嵌入式广告。当用户在拨号成功以后，打开浏览器出现的并非用户原本设定的首页，而是直接连接到ISP运营商指定的广告网址上，停留5秒以后自动转回用户设定的地址(图2)。这种强制广告还有可能导致IE崩溃，为广大用户深恶痛绝。

3．工具条式广告。广告会插入在网页的下方，广告标题内容程滚动方式显示，类似于“百度搜霸”。该广告多出现在网通宽带上，以“绿色上网”和“UU网摘”为主(图3)。这种强制广告条会不断更新显示信息，分散用户上网的注意力；更重要的是占用了屏幕位置，令可用的网页显示面积变小。

下面，我们就从分析强制广告的实现原理人手，逐个击破，找回以前那种“安宁”的上网环境。

一、修改DNS地址

DNS，全称Domain Name Server(域名服务器)，主要用于域名地址跟IP地址的转换。在网络通信中，主机的连接都是通过IP地址进行的，本地主机要与其它主机连接必须事先知道对方的IP地址。由于IP地址不利于记忆，人们便使用DNS域名系统，通过便于记忆的域名地址来代替IP地址。例如google的IP地址为64.233.189.104，很难被人记住，使用域名www.google.tom就很容易被记住。

每当用户拨号成功以后，本地电脑会自动获得一个DNS地址，该地址通常由ISP运营商提供。由此可见，DNS服务器主要掌握在ISP运营商的手上，在ISP运营商不断发展数据业务的今天，本来作为网络组成设备的DNS服务器也被当作营收的利器，DNS欺骗技术便浮出水面。DNS欺骗技术是基于DNS域名系统实现的，例如：本地的电信DNS地址为61.128.128.68，而用户的IP地址为10.126.8.2。当用户登陆www,google，coM网址时，本机会以10.126.8.2(本地IP地址)连接到61.128.128.68(DNS地址)。DNS服务器当然知道的IP地址为64.233.189.104，不过ISP运营商已经在DNS域名系统上做了手脚，DNS服务器会先给用户发送一个广告IP地址，5至10秒后才重新发送真正应该返回的IP地址。

解决方法：

作为全球网络的组成部分，DNS域名系统拥有庞大的服务器群，而每个国家和地区都有数量不一的DNS服务器，这些服务器分别受不同ISP运营商的控制。我们用其它地区的DNS服务器地址代替本地提供的DNS地址，就可以避免强制广告的骚扰。例如山东电信没有强制广告，查到它的DNS地址为202.102.152.3。使用本机拨号上网的用户，需要进入控制面板的网络连接中，右键点击ADSL拨号连接图标，选择属性，在“网络”选项中找到“Internet连接(TCP/IP)”，在“使用下面的DNS服务器地址中”将地址输入其中(图4)。使用路由器上网的用户，在IE浏览器中进入Web设置页面，在“WAN设置中”修改其DNS地址即可(图5)。

二、修改Hosts表

对WindOWS系统熟悉的用户都知道，浏览器在通过DNS请求，要求DNS服务器解析一个域名地址的之前，会首先检查在本机硬盘上的Hosts表中是否有这个域名的映射关系。如果有，就直接用Hosts表中的IP地址进行连接，否则才会向DNS提出申请。因此我们可以通过Hosts表，将强制广告的域名地址指定为本机的无效IP地址，限制广告的出现。

解决方法：

在Windows 2000/XP/2003/Vista系统中，Hosts表的可以到系统分区所在的“windosws/System32/Drivers/Etc”目录中查找。WindOWS 98/ME系统中，Hosts表放置在系统盘的“Windows”目录下，也可以通过搜索“Hosts”查找。例如强制广告的域名地址为“”和“cq.vent.ca”，用系统自带的记事本打开Hosts表，填入以下内容：“127.0.0.1 ”和“127.0.0.1 ”(图6)。大家根据这种方法可以把当地的强制广告域名在本机上改为无效。同时为防止Hosts表被修改(已经有修改Hosts表的恶意软件出现)，右键单击Hosts表，在属性中选择“只读”。

三、让会话劫持失效

在多种强制广告中，有一种是采用会话劫持(Session Hijack)技术。它的出现没有时间规律，经常在用户上网的无意之间出现这类广告。经笔者多方查询，这种强制广告会根据用户上网的活跃度自动增减弹出数，“流氓”行为可以见一斑。我们知道，TCP连接的时候必须通过3次握手确认的方式与对方建立一条TCP链路。会话劫持技术就是在两台主机之间建立TCP链路的时候，获得主机信息，并在源主机获得目的主机发送的数据报之前，将自己包含广告代码的数据报发送给源主机，而根据TCP/IP的机制，真正的数据报文则被丢弃。ISP运营商利用自身优势，将会话劫持设备安装在核心路由器旁，以此种方法来达到推送强制广告的目的。

解决办法：

使用“Anti-TCP会话劫持程序”，该软件是网络安全爱好者编写的。该程序利用ISP会话劫持设备的工作原理，进行相应的对策。它的基本原理为：根据代码检测到会话劫持设备伪造的响应，则立即修改该数据报的内容，使其不在包含广告代码。软件下载地址：/download。

该软件的安装方式比较特殊，不像普通软件那样直接双击文件进行安装，而是在“控制面板”中找到“网络连接”图标，点击“本地连接”选择“属性”，然后在“常规”页面中选择“安装”“服务”“从磁盘安装”，找到存放该软件的目录，选择“netsf”这个文件，并多次选择“继续安装”后，会出现“TCP Session Hijack Filter”，安装就成功了(图7、8)。安装完成后会话劫持类广告即可被阻止。