解决360极速浏览器劫持页面问题(“该网站可能包含违法或违规内容”)
二楠早睡觉
2023年11月03日 20:26

现象:访问目标URL(例如example.com)时,被重定向至ce.warning.360.cn/warn/...,页面内容是“该网站可能包含违法或违规内容”,如下图

解决方案1:控制面板 - 系统和安全 - Windows Defender 防火墙 - 高级设置 - 出站规则 - 新建规则 - 自定义 - 所有程序 - 任何协议 - 远程IP地址范围1.192.1.1至1.192.255.255 - 阻止连接

解决方案2(推荐):换浏览器,360极速浏览器已经停止维护烂掉了,可惜了良心软件


排查过程

1、现象类似DNS劫持,更换edge浏览器,可以访问example.com,因此系统DNS没问题,可能是①360极速浏览器覆盖了系统DNS;②360发送了其他请求查询目标URL是否“合法”。

2、又发现,目标URL只有首页被拦截,其他路径如example.com/user/xxx可以访问,说明浏览器检查的是完整URL而非主机名,手段不是DNS劫持。

3、Fiddler抓包如下图(打码的是example.com),除了迟迟等不到响应的对example.com的请求外,就只有和ce.warning.360.cn的会话了,说明浏览器使用非HTTP的格式向360服务器查询,认定“非法”后直接掐断example.com的会话,并转到“安全上网”页面。

> 这里我们改host文件阻止ce.warning.360.cn是没用的,这只是个处理结果,真正的会话已经被掐了。

4、Wireshark进一步抓包,过滤出UDP协议和非HTTP的TCP协议。逐个检查,排除和系统DNS相关的包,排除和example.com这个境外IP相关的包,很快就能锁定到下图这个包:

有时是这个形态:

虽然协议识别是DNS,但"Malformed Packet"说明是个其他格式的UDP包, 而且和example.com的DNS请求同时发出,就是他没跑了,直接Windows防火墙伺候:出站规则、阻止连接、协议任何、远程IP地址1.192.1.1-1.192.255.255。启用规则,测试,问题解决。

> 协议任何是因为和这个IP还有TCP通信,我没细究内容,宁可错杀一百。

> IP是个范围,我抓到的有1.192.192.xxx和1.192.194.xxx,估计是硬编码在浏览器里的,所以阻止范围直接拉满。

> 很多地址比如qurl.f.360.cn、browser.360.cn、s5.ssl.qhimg.com,但都无关,没做处理。当时被这一堆地址搞晕了,吃饭时一下子想明白不可能是HTTP包,这才解决。

2023年11月3日,注意时效性