V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 3599 days ago, the information mentioned may be changed or developed.
似乎很早之前,某神秘组织就开始了对 Google ip 的证书嗅探,几乎刚刚扫出来的 ip 瞬间就被路由黑洞。
那么问题来了,我注意到一些已经广为流传的 h.osts 文件所使用的 ip 已经很久没有更换,并且像这种流量很大的 ip ,应该很好发现,但是直到现在这个 ip 仍然可用。
这根本解释不通。我注意了一下,这是个新加坡 GGC ,那么我妄加揣测一下,这会不会是某神秘组织的蜜罐,用来拦截用户数据?这样就恐怖了
那么问题来了,我注意到一些已经广为流传的 h.osts 文件所使用的 ip 已经很久没有更换,并且像这种流量很大的 ip ,应该很好发现,但是直到现在这个 ip 仍然可用。
这根本解释不通。我注意了一下,这是个新加坡 GGC ,那么我妄加揣测一下,这会不会是某神秘组织的蜜罐,用来拦截用户数据?这样就恐怖了
 |
1
New2016 Jun 25, 2016 via Android
把 ip 放出来看看
|
 |
2
zsj950618 Jun 25, 2016
第一,用 https 访问 Google ,如果你电脑没被植入什么可疑的根证书,那么可以认为你和 Google 之间的通信是可信的且第三方无法截获。这应该算 SSL 常识。。。
第二, Google 大部分 ip 代反向解析。 比如随便拿个 Google 的 ip 举例: 216.58.197.14 ,怎么判断这个 ip 属于 Google 的呢? 1. dig -x 216.58.197.14 得到反向解析结果, kix06s02-in-f14.1e100.net. 2. 继续验证这个反向结果的正确性, dig kix06s02-in-f14.1e100.net. 得到 216.58.197.14 3. 于是验证结束, 216.58.197.14 这个 ip 属于 Google 。 PS : 1e100.net 是 Google 的域名, 1e100 也是 Google 名字的来源。 |
|
3
zsj950618 Jun 25, 2016
验证 ip 属于 Google 这一步中, dig kix06s02-in-f14.1e100.net 时请使用 dnssec ,即 dig kix06s02-in-f14.1e100.net +dnssec
|
 |
4
linescape Jun 25, 2016 via Android
某组织留几个 ip 给你们一条活路还不感恩戴德居然在这里怀疑人家
|
 |
5
yexm0 Jun 25, 2016
你说的是 220.255.2.153 这个?
|
 |
7
fengxing Jun 25, 2016
先不说 GGC ,就算 AS15169 的官方 ip 段中,可以正常使用的 IP 就有上万个
再说 GGC ,全球大约有 3K 左右的 /24 段,这其中也很很多没有被封锁 并且因为和 google 的链接是 SSL ,现在没有任何组织可以拦截或者破解 SSL 数据的 前一段时间确实有过大面积的 封锁,涉及到 as15169 和绝大部分的 GGC ,所以证明 GFW 是有能力全部封锁,但是现在并没有全部封锁,所以说你先前假设的扫出来 IP 就被黑洞是错误的,导致后面的一系列话全都是错误的 |
 |
9
jhaohai Jun 25, 2016 via iPhone
要封杀 Google 很简单, Google 有自己的 as 号,只要骨干路由不路由这个 as 就行了
|
 |
10
BSD Jun 25, 2016
墙真要封死 Google 其实很容易,因为 Google 分配到的 ip 段是公开的,直接全段封锁就搞定了,我也奇怪为嘛方叫兽不这么做。。。
|
 |
15
wdlth Jun 25, 2016
@a2213108 目前国服网只是象征性的把*.google.com 证书的认证了,很多 video 、 orkut 证书的都没有太严格的封锁,无非只是为了使大部分网民不能随便上 Google 。有的 GGC 速度实在是太不理想了,用的人也不多,流量一大 GGC 自己都会封掉非本网的流量。
像上面那个,电信走 Telia 绕美国,谁爱用就用吧,一段时间后就封,然后再开放另外一批…… |
 |
18
neilp Jun 25, 2016
sni 其实是万恶之源, 造成了 ssl 的不安全.
|
|
19
neilp Jun 25, 2016
ssl 其实是端到端加密, 所以理论上可以抵抗中间环节的 窃听和截取. 即使是运营商或者机房也无可奈何.
所以, 我每次 用谷歌 都要打开证书详情, 看看是由那个 CA 签的. |
 |
20
kslr Jun 26, 2016 via Android
谢谢提醒,我们会尽快安排人手清查漏网之鱼。
|
 |
24
GhostFlying Jun 26, 2016
@neilp 然而没 SNI , cdn 开销太大,只会导致更多网站停留在 http ,以及 Chrome 会自动检查 Google 系的证书的吧,每次手动点开不烦么。。
|
 |
25
bookface Jun 28, 2016
@a2213108 你扫描的 IP 可能是 nslookup -q=TXT _netblocks.google.com 出来的官方服务器,这些 IP 基本上被 Goagent
XX-NET 等玩完了。偶尔有可用 IP,但非常不稳定。现在做 hosts 的 IP 是 ISP 的稍微稳定些,话说 ISP 的 GGC 很难封完 @neilp 截取 SNI 数据只能看到域名,而 Goagent 、 XX-NET 等对 SSL 不安全 |
Select Language