Comment puis-je empêcher mon FAI de cadrer des sites Web? [dupliquer]

16

J'ai remarqué récemment, à ce jour, que tous les sites Web que je visite (à l'exception de quelques sites spécifiques tels que Google) sont tous placés dans un cadre. Je ne suis pas sûr de la raison de cela, il n'y a pas d'annonces affichées et tout semble normal. La seule raison pour laquelle je l'ai découvert est que les en-têtes ne se chargeaient pas correctement et qu'aucun des titres de page ne s'affichait correctement - j'ai rapidement vérifié le code source et j'ai vu qu'au lieu de la source de la page que je m'attendais à voir, il y avait un une seule ligne avec un cadre.

J'ai d'abord pensé peut-être à une sorte de cheval de Troie, mais après avoir effectué diverses vérifications, j'ai déterminé qu'il s'agissait de mon FAI et / ou d'une sorte de registre Internet (j'ai tracé l'IP indiquée dans le code source)

Que peut-on faire pour empêcher cette trame, à moins d'utiliser un VPN? J'ai l'impression d'être espionné.

PS: je suis situé en Corée du Sud.

Le code source ressemble à ceci: [copié à partir du commentaire de OP pour éviter la mise en forme automatique - grawity]

<html><frameset rows='0,*' border='0'><frame src='http://210.91.57.226/notice.aspx?p=P&s=1495361&h=sitename.com&us=5,841,6&cs=10489585&rt=Y'><frame src='http://sitename.com/?'></frameset></html>
PJB
la source
essayez éventuellement d'utiliser un service DNS tiers?
Richie Frame
2
quel navigateur? au fait, pouvez-vous publier la "voir la source de la page"
Tous les navigateurs. La source ressemble à ceci: <html> <frameset rows = '0, *' border = '0'> <frame src = ' 210.91.57.226/… src =' sitename.com/?'></frameset></ html >
PJB
3
J'ai vu une pratique similaire effectuée par certains FAI américains (lors de l'écoute de la sécurité maintenant podcast). Le raisonnement derrière l'injection de code (pour leur cas) est que le FAI puisse vous avertir que vous avez dépassé (ou presque) votre limite de bande passante. Ils effectuent donc une injection de code pour leur permettre d'intercepter la page et de vous avertir quelle que soit la page sur laquelle vous vous trouvez. Cette injection de code ne devrait pas fonctionner lorsque vous vous connectez à des sites HTTPS. Vous voudrez peut-être vérifier les termes et conditions de votre FAI pour voir s'ils ont apporté ces modifications. Ils devraient le faire noter quelque part.
Darius
2
J'espère que ce n'est pas trop évident, mais vous n'avez pas mentionné de l'essayer: contactez-les et demandez-leur de désactiver le #! @ (# (* Off.
derobert

Réponses:

8

La première image provient de http: //ip.address/notice.aspx? P = P & s = 1495361 & h = sitename.com & us = 5,841,6 & cs = 10489585 & rt = Y, ce qui me fait penser que le FAI, ou quiconque, surveille votre trafic pour fournir une sorte "d'avertissement, vous êtes sur le point de commettre des crimes contre l'Etat" "... vous êtes sur le point de dépasser l'allocation de bande passante" "... nous vous surveillons" (ou autre). Il est également possible que certains logiciels malveillants sur votre ordinateur réécrivent votre trafic localement.

Mis à part la paranoïa, voici quelques choses que vous pouvez essayer:

  • Vérifiez votre ordinateur pour les logiciels malveillants. Téléchargez une distribution Linux en direct et démarrez à partir d'un système d'exploitation et d'un navigateur entièrement intacts. Si vous ne voyez plus les cadres, le problème vient de certains logiciels malveillants de votre système d'exploitation ou de votre extension de navigateur.
  • Comme Richie l'a suggéré dans le commentaire de votre message, essayez de coder en dur une autre série de serveurs DNS dans votre configuration réseau. Un rapide google a dressé cette liste de serveurs DNS publics organisés par pays ou vous pouvez simplement essayer 4.4.2.2 (AT&T, je pense) ou 8.8.8.8 (Google). Si vous réussissez ici, vous pouvez probablement configurer vos serveurs DNS alternatifs sur votre routeur ou modem pour donner à chaque ordinateur de votre réseau local une bonne dose de trafic propre. Si l'utilisation d'un DNS alternatif n'aide pas réellement le problème, alors quelque chose de plus malveillant est probablement en train de se produire.
  • Un compte VPN n'est pas entièrement nécessaire, tant que vous avez un accès SSH à un serveur avec une allocation de bande passante raisonnable, un tunnel SSH correctement configuré devrait faire l'affaire. Lors de l' utilisation d' un DNS alternatif comme ci - dessus, le démarrage d' un tunnel avec quelque chose comme ceci: ssh [email protected] -D8080. Si vous êtes sous Windows, Putty est facilement configuré pour faire la même chose. J'utilise une extension de navigateur appelée Falcon Proxypour basculer facilement le navigateur de l'envoi de demandes via un proxy SOCKS local ou du trafic direct. Avec la commande SSH précédente, demandez à Falcon Proxy de diriger le trafic vers un proxy SOCKS sur localhost: 8080. Pour tester cela, vous pouvez faire tourner une instance sur le cloud Amazon ou Linode. Si vous trouvez que c'est la route que vous devez suivre pour éviter de modifier votre trafic en temps réel, un VPN est probablement la meilleure solution car il est moins susceptible de nécessiter une reconfiguration manuelle de chaque application.
voxobscuro
la source
Le problème est sur tous les ordinateurs que j'ai, donc je doute que des logiciels malveillants soient impliqués. J'ai bricolé avec le DNS mais pas de chance jusqu'à présent. L'adresse IP indiquée dans le cadre appartient apparemment au 'Korea Network Information Center' - Voir: ip-adress.com/whois/210.91.57.226
PJB
Je pense que vous devriez essayer de configurer un tunnel SSH comme je l'ai expliqué ci-dessus. Vous aurez besoin d'un serveur situé en dehors du pare-feu du pays. Je viens de remarquer que Wikipedia a mentionné la Corée du Sud dans son article sur la liberté d'Internet: en.wikipedia.org/wiki/Internet_censorship#Security_concerns
voxobscuro
@PJB Je pense que je devrais souligner que, étant donné que vous essayez probablement de renverser un pare-feu à l'échelle nationale, il pourrait y avoir des conséquences punitives pour ce type de chose. Vous ne seriez pas le premier à essayer de le contourner cependant: vpnhero.com/articles/… Bien que cet article donne quelques exemples de la façon dont vous pourriez réaliser ce que vous recherchez, je pense que vous pourriez probablement le faire moins cher si vous maintenez votre propre solution.
voxobscuro
Merci, j'ai un VPN que j'utilise pour le travail que je continuerai probablement à utiliser à la place. J'ai également remarqué que le truc de cadre ne s'applique qu'aux pages d'accueil des sites Web, il ne semble pas apparaître si je vais directement sur une sous-page ou quelque chose.
PJB
1

Étant donné que le whois de cet IP 210.91.57.226 indique qu'il appartient à Korea Telecom et que le nom de page est notice.aspx , je suis porté à croire qu'il s'agit d'une injection de FAI pour vous donner un certain type d'alerte concernant l'utilisation, l'interruption de service ou la facturation information.

C'est une pratique aggravante, et pourtant certains FAI s'y engagent car dans de nombreux pays, ce n'est pas strictement illégal. Ils ont peut-être récemment modifié leurs conditions de service, et je vous conseille de regarder là-bas.

Pour éviter que votre FAI n'effectue tout type d'injection HTTPS pour autant de sites que possible (certains sites n'ont toujours pas SSL par défaut ...) ou utilisez un VPN.

Fred Thomsen
la source