最近使用笔记本发现:用google工具条搜索结果会自动转向百度!但直接使用google来搜索并不会跳转。怪哉!!
我的笔记本是vista+IE7, 浏览器的插件只有google工具条,因为是才重新装过的系统而且操作系统和杀毒软件均为正版,可以说系统是很“干净”的,在这种情况下google工具条的搜索结果转到百度引起我的极大好奇,难道是我百密一疏中了病毒,还是百度或电信真的干出了如此卑鄙无耻的事情?我一时还真有点怀疑自己:“都是我的错”了。
于是在公司的server 2003 + IE7 上测试,结果相同。回家在家里的server 2003 + IE6 上测试也是同样的结果。三台不同的电脑都是一样的结果。为了进一步的确认,我又到网站搜索有没有类似的情况,找到一位老兄“寒鸦戏水”,题目为:google工具栏竟然被百度劫持了 看来有相同的受害者,而且可以看出他也在成都,也是这两天。我又将工具栏搜索框设置设为使用其他后缀,如新加坡.com.sg 这时搜索结果没有发生跳转。这样看来在成都范围内的电信用户,如使用google工具条的默认搜索(.cn),则其搜索结果会自动跳转到百度上去。
只在工具条劫持结果,这不同于通常的域名劫持,这到底是怎么回事呢?劫匪是怎么做到的呢?
下面我们先来看看google搜索的url的含义:
http://www.google.cn/search?sourceid=navclient&hl=zh-CN&ie=UTF-8&rls=GGLS,GGLS:2008-11,GGLS:zh-CN&q=qq
| 参数 | 参数值 | 含义 |
| Sourceid (google的产品) | navclient-ff | FIREFOX工具条 |
| navclient | IE工具条 | |
| Gd | 桌面搜索 | |
| Client (非google产品) | Firefox-a | Firefox内置 |
| aff-os-maxthon | 遨游浏览器 | |
| hl | zh-CN | Google搜索的界面语言编码。 |
| utf-8 | ||
| en | ||
| Ie | UTF-8 | 查询输入文字的编码(Input Encoding),缺省设置ie=gb2312,即为简体中文 |
| gb2312 | ||
| rls | {搜索类型}:{参数} 一般格式如下: GGLS,GGLS:2008-11,GGLS:zh-CN | 更详细的信息参数,包括首次安装时间和语言版本; GGLS表示是google工具条(GGLD代表桌面搜索) 2008-11 表示安装日期 zh-CN 表示工具条语言 |
| q | {关键字} | 如q=千亿表示搜索关键字是千亿 |
| 以下是网上收集的其他参数,包括猜想。 Google产品:sourceid分布 494 navclient IE工具条 106 navclient-ff Firfox工具条 53 ie7 IE7内置搜索框 13 opera Opera浏览器 4 hint 搜索提示? 3 gd 桌面搜索 1 navclient-menuext IE工具条的下拉菜单 1 mozilla2 Mozilla 2.? 1 customizegoogle 搜索定制 1 captaincaveman ???? 非Google产品:client的分布 323 aff-avalanche 是个桌面撞球小游戏的名字,从265网站上可以找到这个代码 229 firefox-a FireFox内置搜索框 106 aff-os-maxthon 傲游浏览器 98 aff-cs-maxthon 傲游浏览器客户端 98 aff-9991 9991捆绑 81 aff-sub-lianmeng 联盟捆绑 53 aff-sina 新浪合作 47 aff-maxthon 傲游浏览器 40 aff-cs-gbown 32 firefox 29 pub-1309797784693300 29 aff-cs-worldbrowser 世界之窗浏览器 27 opera Opera浏览器 26 aff-5566 5566捆绑 25 pub-7908916078457618 25 aff-sub-group2 24 aff-os-worldbrowser 世界之窗浏览器 13 pub-3559288694001724 10 safari Safari浏览器 8 aff-gb 8 aff-cs-gbto 7 aff-cs-gosurf 5 aff-cs-cnc 网通 4 pub-4571295426657318 4 pub-4273724667394431 4 pub-2215799605516001 4 pub-0194889602661524" 4 pub-0194889602661524 4 aff-sub-group3 3 pub-6779645896534375 3 pub-2565527930429163" 3 aff-bitcomet 比特精灵 2 pub-8406103100425592 2 pub-4895116691449379 2 pub-2190841356460864 2 pub-1023602766778897 Google产品的rls参数分布: 227 org.mozilla:zh-CN:official FireFox简体中文版缺省搜索框 104 org.mozilla:en-US:official FireFox英文版缺省搜索框 32 com.microsoft:zh-cn:IE-SearchBox IE内置搜索框 30 org.mozilla:zh-TW:official FireFox繁体中文版缺省搜索框 30 com.google:zh-CN:official Google桌面搜索简体中文版 21 com.microsoft:en-US IE英文版 20 zh-cn 15 en 14 com.microsoft:*:IE-SearchBox 12 com.ubuntu:en-US:official 9 com.microsoft:zh-cn 8 com.microsoft:en-us:IE-SearchBox 7 com.google:zh-CN:official_i 5 org.mozilla:en-GB:official 4 org.mozilla:en-US:official" 4 org.mozilla:de:official 4 com.microsoft:zh-tw:IE-SearchBox 3 org.mozilla:en-US:unofficial 3 GGLR,GGLR:2006-36,GGLR:en 3 GGLJ,GGLJ:2007-41,GGLJ:zh-CN 3 com.microsoft:zh-cn:IE-Address 3 com.microsoft:*:IE-Address 3 com.microsoft:en-us 3 com.microsoft:* 3 com.google:en-US:official 2 RNWN,RNWN:2006-44,RNWN:en 2 org.mozilla:zh-CN:official" 2 org.mozilla:fr:official 2 GZHZ,GZHZ:2007-27,GZHZ:zh-CN 2 GZHZ,GZHZ:2007-20,GZHZ:zh-CN 2 GGLJ,GGLJ:2006-46,GGLJ:zh-CN" 1 XNLA,XNLA:2007-41,XNLA:zh-CN 1 XNLA,XNLA:2007-29,XNLA:zh-CN 1 XNLA,XNLA:2007-09,XNLA:zh-CN 1 XNLA,XNLA:2007-08,XNLA:zh-CN 1 XNLA,XNLA:2006-51,XNLA:zh-CN 1 XNLA,XNLA:2006-39,XNLA:zh-CN 1 XNLA,XNLA:2006-37,XNLA:zh-CN 1 XNLA,XNLA:2006-32,XNLA:zh-CN Google产品的:rlz参数分布 19 1T4AMSA_zh-CNCN244 15 1T4XNLA_zh-CNCN244 11 1B2GGFB_zh-CNCN244 10 1I7GGLJ" 8 1T4AMSA_zh-CNCN242CN242 7 1T4GGLJ_zh-CNCN244CN244 6 1T4XNLB_zh-CNCN244 6 1T4CULB_zh-CNCN244 6 1I7GGLJ 6 1B3GGGL_zh-CNCN244CN244" 5 1T4KCTA_zh-CNCN244 5 1T4GGLJ_zh-CNCN244 5 1T4GGLJ_zh-CNCN243CN243 5 1T4GGLJ_zh-CNCN242CN242 5 1T4BJYS_zh-CNCN244 5 1I7XNLA" 5 1B3GGGL_zh-CNCN244" 5 1B2GGFB_zh-CNCN244" 4 1T4XNLA_zh-CNCN244CN244 4 1T4RNWN_zh-CNCN244 4 1T4RNWE_zh-CN___CN240 4 1T4CULB_zh-CNCN243CN243 4 1T4CULB_zh-CNCN240CN240 4 1T4AMSA_zh-CNCN243CN243 4 1T4AMSA_zh-CNCN238CN239 3 1T4XNLA_zh-CNCN242CN242 3 1T4XNLA_zh-CNCN240CN241 3 1T4XNLA_zh-CNCN233CN233 3 1T4SUNA_zh-CNCN234CN235 3 1T4SHCN_zh-CNCN244CN244 3 1T4RNWN_zh-CN___CN228 3 1T4KCTA_zh-CNCN236 3 1T4GGLJ_zh-CNCN243CN244 3 1T4GGLJ_zh-CNCN221CN221 3 1T4GGLJ_zh-CNCN218CN218 3 1T4GGIJ_zh-CNCN242CN242 3 1T4CULB_zh-CNCN242CN242 3 1T4CULB_zh-CNCN233CN235 3 1T4AMSA_zh-CNCN243CN244 | ||
我们先更改中间的参数为:sourceid=navclient-ff ,这样我们就告诉电信dns域名服务器:“我们的搜索是来自firefox的工具条",修改后如下:
http://www.google.cn/search?sourceid=navclient&hl=zh-CN&ie=UTF-8&rls=GGLS,GGLS:2008-11,GGLS:zh-CN&q=qq
直接将其输入地址栏,发现google照样跳转。接着改为:sourceid=gd(告诉电信:“我们的搜索是来自桌面搜索”) 发现不会跳转,多试验了几个其他的参数,均没有发生跳转。结合前面对dns的怀疑,我更换了dns域名服务器,使用google测试,没有发生跳转。
由此我得出结论:
这是一个专门针对google工具栏软件的劫持,而且劫持的手法是通过在dns服务器上对url进行处理,劫持范围应该仅限于使用202.98.96.68 和61.139.2.69这两台dns域名服务器的adsl用户。 相信四川电信的域名服务器应该不会轻易被黑客利用,而且把google工具条的搜索结果劫持到百度上,也不符合一般黑客的动机。考虑到百度曾经有劫持域名的“前科”,四川电信又有一贯“流氓”的作风,我觉得这次google工具条搜索结果劫持事件,应该就是四川电信和百度“强强联手”、“珠联璧合”的结果吧。
【更新】 第二天,我在多台电脑上测试,发现在所有电脑上用google工具来搜索,其结果又变正常了,不再发生跳转。这也进一步表示,毕竟做贼心虚啊。他们也只是不定期来劫持点流量,让你无把柄可抓。就像老练的土匪路霸,在一个人流量很大,但又相对比较隐蔽的好地方(如google工具条),时不时的下山抢劫!( 随机函数的一个经典应用),而且这地方本来就是他承包的。呵呵:)
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus();){kind=link}