怎么向移动证明自己受到了 http 劫持？

tcpdump抓包，然后让这帮家伙自己慢慢研究谁干的去

@ryd994 谢谢！这是我刚刚抓到的一个包（不知道这个说法对吗）？就是httpWatch返回给我的东西。

那个http://www.baidu.com/?tn=SE_hldp04310_pzs7zsrj就是我在地址栏中看到的。

大神能否帮我指点一二？下面这些是不是就是我该发给那个负责人的？其中有没有什么被劫持的线索？

Started Page Title Warnings Comment Flag Time Sent Received Method Result Type URL
百度一下，你就知道 ! 0.146 4135 3203
55:39.0 ! 0.077 349 376 GET 200 gif http://b1.bdstatic.com/img/pc.gif?_t=443
55:39.0 ! 0.144 363 859 GET 200 gif http://ecma.bdimg.com/public03/pc.gif?_t=1421420138986
55:39.0 ! 0.072 570 328 GET 200 gif http://i7.baidu.com/ps_default.gif?_t=1421420138988
55:39.0 ! 0.076 570 328 GET 200 gif http://i8.baidu.com/ps_default.gif?_t=1421420138990
55:39.0 ! 0.072 570 328 GET 200 gif http://i9.baidu.com/ps_default.gif?_t=1421420138991
55:39.0 ! 0.073 571 328 GET 200 gif http://t10.baidu.com/ps_default.gif?_t=1421420138993
55:39.0 ! 0.07 571 328 GET 200 gif http://t11.baidu.com/ps_default.gif?_t=1421420138995
55:39.0 ! 0.071 571 328 GET 200 gif http://t12.baidu.com/ps_default.gif?_t=1421420138997
百度一下，你就知道 ! 0.63 6260 45662
55:39.0 0.136 525 142 GET 302 Redirect to http://www.baidu.com/?tn=SE_hldp04310_pzs7zsrj http://www.baidu.com/
55:39.2 ! 0.161 550 41154 GET 200 html http://www.baidu.com/?tn=SE_hldp04310_pzs7zsrj
55:39.3 0.073 709 208 GET 304 png http://www.baidu.com/img/bd_logo1.png
55:39.3 0.069 714 207 GET 304 gif http://www.baidu.com/img/baidu_jgylogo3.gif
55:39.3 0.068 483 410 GET 304 Javascript http://s1.bdstatic.com/r/www/cache/static/jquery/jquery-1.10.2.min_f2fb5194.js
55:39.4 0.068 492 338 GET 304 png http://s1.bdstatic.com/r/www/cache/static/global/img/icons_3bfb8e45.png
55:39.4 0.061 488 408 GET 304 Javascript http://s1.bdstatic.com/r/www/cache/static/global/js/all_instant_search1_d19c5eb5.js
55:39.5 ! 0.066 625 1702 GET 200 Javascript http://passport.baidu.com/passApi/js/uni_login_wrapper.js?cdnversion=1421420139510&_=1421420139422
55:39.5 0.076 483 407 GET 304 Javascript http://s1.bdstatic.com/r/www/cache/static/home/js/nu_instant_search_1d4b7707.js
55:39.5 0.07 482 407 GET 304 Javascript http://s1.bdstatic.com/r/www/cache/static/sug/js/bdsug_input_event_77f78c86.js
55:39.6 ! 0.066 709 279 GET 200 Javascript http://suggestion.baidu.com/su?wd=&json=1&p=3&sid=10930_1465_10772_10489_10873_11110_11067_10922_11101_11150_10617&req=2&cb=jQuery1102031921054216613076_1421420139423&_=1421420139424

@RanchoH 你那只能解移的dns劫持，於tcp劫持根本用

小弟有一问，在刚刚我贴出的httpWatch信息里面看到这一行：

55:39.0 0.136 525 142 GET 302 Redirect to http://www.baidu.com/?tn=SE_hldp04310_pzs7zsrj http://www.baidu.com/

为什么会重定向（Redirect to）到这个带尾巴的URL呢？这时候我要怎么知道是具体劫持了比如哪个图片的URL之类的，才导致了这个重定向的发生呢？谢谢！如果有理解错的地方，请大家多多指正。

对比没有被劫持的时候，httpWatch抓到的是这样的（比被劫持时少了一些东西）：

Started Page Title Warnings Comment Flag Time Sent Received Method Result Type URL
百度一下，你就知道 ! 0.641 1808 26405
07:39.2 ! 0.403 525 24425 GET 200 html http://www.baidu.com/
07:39.6 0.001 0 0 GET (Cache) Javascript http://s1.bdstatic.com/r/www/cache/static/jquery/jquery-1.10.2.min_f2fb5194.js
07:39.6 0.001 0 0 GET (Cache) Javascript http://s1.bdstatic.com/r/www/cache/static/global/js/all_instant_search1_d19c5eb5.js
07:39.6 ! 0.2 600 1702 GET 200 Javascript http://passport.baidu.com/passApi/js/uni_login_wrapper.js?cdnversion=1421420859604&_=1421420859586
07:39.6 0.001 0 0 GET (Cache) Javascript http://s1.bdstatic.com/r/www/cache/static/home/js/nu_instant_search_1d4b7707.js
07:39.6 0 0 0 GET (Cache) Javascript http://s1.bdstatic.com/r/www/cache/static/sug/js/bdsug_input_event_77f78c86.js
07:39.6 ! 0.061 683 278 GET 200 Javascript http://suggestion.baidu.com/su?wd=&json=1&p=3&sid=10930_1465_10772_10489_10873_11110_11067_10922_11101_11150_10617&req=2&cb=jQuery110208990308774612343_1421420859587&_=1421420859588
07:39.6 0.001 0 0 GET (Cache) png http://s1.bdstatic.com/r/www/cache/static/global/img/icons_3bfb8e45.png

明确的告诉你，DNS厂家干的，除非造成严重影响，要么很难解决，建议使用香港运营商的DNS解析出来的基本无劫持，不过影响某些网站的CDN

直接向工信部投诉吧，省点事

@ChangeTheWorld 谢谢，可我换过DNS问题依然存在，是不是应该用非53端口的DNS才行？

电信不用证明，投诉一下就帮你关掉了。

@ChangeTheWorld
DNS劫持早就过时了，现在已经进入TCP劫持时代，修改DNS根本没用。
全程HTTPS才是解决方案。（必须全程，因为只要有HTTP内容，就有机会把你跳转掉）

前面不是还有人说， 某地会插入一些js,把你的https修改为http，直接奇葩了。

@kacong 如果最开始输入在地址栏中的就是https且网站无配置问题，那么是没有机会变成http的。

我把整个劫持过程录像外加和其它宽带对比发给他们都没用，投诉到工信部也没回应。
现在我改为投诉到百度、淘宝、苏宁，投诉的多了总有用吧。

httpWatch是用的，看到的西根本法明被劫持了。wireshark吧，才是王道

移动的劫持 深得gfw真传
只要http网站出现敏感词 立马掐断
只要出现百度域名立马带上小尾巴
小城市投诉其实要靠运气的……
用百度还是带上https吧

同铁通宽带
劫持污染各种网站
xiazaiba和pcbeta论坛全污染到盗版win7下载网站

现在应该都是HTTP劫持了，改dns也没用的，有的运营商会把dns请求流量都劫持掉，自动重重定向到运营商自己的DNS服务器上。
真要找到证据就用Wireshark抓包吧。用户端发起浏览网页请求后，运营商会用一个伪造的HTTP数据包回复你(因为是运营商网内设备发的，这个伪造的数据包通常会先于真正的网站的数据包到达用户电脑。)这个伪造数据包没有什么实质性内容，就是一条重定性语句，将你的访问请求重定向到另外一个网址。同时，这个伪造的数据包将TCP tag里的fin字段置位，也就是终断这个TCP连接。这样，随后来自网站的真正的回包也都被丢弃了。

工信部不管可以去找通信管理局，这类问题在通信管理局首页是有明确的规定条列的。

直接开骂，然后告诉他们你要投诉到工信部

@klksak 谢谢~这是目前收到最好的帮助！

@klksak 用了wireshark。发现GET根目录后2ms就返回了一个带FIN的包，然后之后正常(50多ms)返回的包被当成了retransmission。我follow tcp stream发现出现了一个302 redirect，下面都是乱码，应该就是那个2ms的包是伪造的，导致了跳转。请问有办法具体查到是哪个节点吗？或者证明那个2ms返回的包里面带有302重定向信息吗？不胜感激！

没用的，放弃吧
移动有些是 CDN 干的，DNS 劫持、TCP 劫持，减少跨网流量
有些是中间插个网关，然后用协议改改 http 的内容，打打广告，收集点用户信息
接投诉的人都不知道咋整

@wecan 如@uvhchina所说，一般都是运营商网内CDN节点干的。按照道理，正常的HTTP请求是不会出现访问A而自动重定向到B的情况的（A和B是两个无关的网站）。

@klksak 非常感谢！我想知道，在技术上有可行的办法能知道到底是哪个节点劫持的吗？或者通过wireshark能不能看到重定向的代码是包含在哪个包里面？谢谢！！

为什么要证明？直接投诉啊，运营商肯定都在做劫持推送广告。

@RoyLaw 对方需要我提供被劫持的详细信息，说这样才能帮我处理

@wecan 这么不上路子，你直接截图去工信部网站投诉他，只要受理到运营商那里他们都比较害怕