URL里面的骗术

经常上网的人在网上会接触到形形色色的网址，有灌水论坛里发现的链接，有QQ或ICQ网友发过来的“祝福”，还有些或许你会产生兴趣的广告、投票活动……这些无所不“链”的网址，正在等待你的点击。



即使只是普通网民，能够认识网址也是一项网络生存的“基本技能”，或许你需要看懂它。👨‍🎨‏🧢🪜💀🙌

URL与网址

在大部分网络用户的概念里，网址就是URL（统一资源定位器，以下简称资源定位）的中文翻译和代名词，确切地说，这也并不是错误的称法。尤其是ASP（活动服务网页）的普遍采用，更模糊了网络地址与资源定位概念上的细微差别。

👂🌡🍪🅾‍例如


是一个标准的传统意义上的网址，它直指一个页面或IP地址。但如果是一个
🧑‍🌾‎👒🎷😅🤟

这样的“地址”（实际上并没有这样一个页面文件存在，我们看到的是执行后的结果），我们称其为URL似乎更合适一点。

当然我们没必要纠缠这种细微差别，但一些小小的危机和欺骗可能也就在这个对比中产生了——你会难以从URL来判断出它的真实网址和结果。
👦‏👜💉😫🙏
特殊标志解析欺骗

在HTTP规范中，网络协议名称之后的完整格式为 http://IP:@name:pass/，其中只有第一部分IP是必需的，“＠”后面是用户名参数，“:”后面是密码，这使服务器可以解析带有更多信息的完整字符串。

我们最常见的通过浏览器登录Ftp服务器时的URL格式（ftp://name＠ftp.xxx.com:port）就是这样一种情况，如果用户名和密码包含在URL中，真正的主机地址是从“＠”字符之后开始，这就可以产生欺骗。👩‍✈️‎🧥📟😍👍

例如一位网友告诉你



这个地址有你需要的LongHorn新版本下载，你恐怕不假思索就会点上去。但注意看一下“＠”后面的内容，那才是真正的网址，而www.microsoft.com”将被视为Google服务器上的一个用户名（当然，它是不存在的），实际指向后面的页面。如果这个地址是具有攻击性或感染了病毒的网页，后果可想而知。
🧑‍🌾‏👚😰👃
虽然这些URL在网络标准中都是“合法”的，它们伪装成用户信任的站点，如果有恶意行为，很难立即发现。遇到这种情况，不妨看看“＠”的解释，就知道是否有问题存在了。

十进制格式的IP欺骗

像上面例子那样的带有欺骗性的URL，是利用了我们对熟悉的URL格式的信任，利用了用户从URL的顶级域名来判断可信度的习惯，还有另外一种欺骗则反其道而行，用一串不知所云的数字麻痹用户。

🧑‍💻‎🪦😥👆

例如网易的一个IP地址是 202.106.185.77，将这个IP地址换算成十进制后就是3395991885，Ping这个数字看看，是不是居然能Ping通，这就是十进制IP地址的解析，它们是等价的。

迷惑的虚拟域名

👦‏👠🔍🤮✌

虚拟域名曾一度是无域名网站的最爱，但有些虚拟域名系统支持句点分隔符，结合上述十进制IP地址，就可以通过如下的URL来制造更大的迷惑：




这个网址就达到了以假乱真的地步，它实际指向Redhat网站，怎么，你还以为www.bbs.com吗？因为很多的网站都把HTTP的ScssionID放在URL中，来代替Cookie使用，所以用户并不会十分留意这个URL中的数字值和“＠”字符。👵‎🔍🤡👊