[请教] 对 dig mail.google.com @112.124.47.27 得到的国内 ip 203.195.174.41 感到不解,望提供线索

2015-04-06 01:00:35 +08:00
 snowhs
```
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @112.124.47.27
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29988
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;mail.google.com. IN A

;; ANSWER SECTION:
mail.google.com. 600 IN A 203.195.174.41

;; AUTHORITY SECTION:
mail.google.com. 600 IN NS localhost.

;; Query time: 59 msec
;; SERVER: 112.124.47.27#53(112.124.47.27)
;; WHEN: Mon Apr 6 00:29:19 2015
;; MSG SIZE rcvd: 72
```

查了一下, 得到
http://www.ipcheck.cn/203.195.174.41
这个ip所在的地址段属于腾讯。

如果直接访问这个ip, Chrome会警告说这个网站的证书是给google.com的,和地址203.195.174.41不符,而证书本身,Chrome说 is valid.

我没有足够的知识来理解这里发生了什么,腾讯从自己的ip反向代理了google的ip么?或者是个陷阱?

有人能告诉我发生了什么吗?
以及,能建议几个搜索关键词关于实现这个的技术么?

然后不妨看看别的国内DNS的解析结果。
```
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @114.114.114.114
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60812
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mail.google.com. IN A

;; ANSWER SECTION:
mail.google.com. 376948 IN CNAME googlemail.l.google.com.
googlemail.l.google.com. 40 IN CNAME mail-china.l.google.com.
mail-china.l.google.com. 41 IN A 173.194.72.83
mail-china.l.google.com. 41 IN A 173.194.72.17
mail-china.l.google.com. 41 IN A 173.194.72.18
mail-china.l.google.com. 41 IN A 173.194.72.19

;; Query time: 73 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: Mon Apr 6 00:30:47 2015
;; MSG SIZE rcvd: 149
```
173.194.72.83 据 https://ipinfo.io/173.194.72.83 说在Mountain View, 有趣的地方在CNAME是mail-china.l.google.com, 也许Google退出中国之前,mail-china.l.google.com 曾经指向一台国内的服务器?

作为参考,dnscrypt-proxy -> dnscrypt-wrapper -> 8.8.8.8 的结果是这样的
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39017
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mail.google.com. IN A

;; ANSWER SECTION:
mail.google.com. 21599 IN CNAME googlemail.l.google.com.
googlemail.l.google.com. 299 IN A 173.194.123.53
googlemail.l.google.com. 299 IN A 173.194.123.54

;; Query time: 361 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Apr 6 00:31:12 2015
;; MSG SIZE rcvd: 103

还有更多的google有关的域名,从国内的DNS查询,会得到国内的ip:
"www-google-analytics.l.google.com",
"ssl.google-analytics.com",
"clients1.google.com",
"oauth.googleusercontent.com",
"clients4.google.com",
"googlehosted.l.googleusercontent.com",
"code.google.com",
"ssl-google-analytics.l.google.com",
"ssl.gstatic.com",
"mail.google.com",
"clients2.google.com",
"safebrowsing.cache.l.google.com",
"www.gstatic.com",
"accounts.google.com",
"plus.google.com",
"support.google.com",
"play.google.com",
"translate.google.com",
"clients5.google.com",
"csi.gstatic.com",
"lh3.googleusercontent.com",
"maps.googleapis.com",
"fonts.googleapis.com",
"p4-fjxzzhhbnbftk-wqtl63hegtnygzcr-if-v6exp3-v4.metric.gstatic.com",
"googleadapis.l.google.com",
"fonts.gstatic.com",
"maps.gstatic.com",
"clients3.google.com",
"ajax.googleapis.com",
"chrome.google.com",
"www.googleapis.com",
"gmail.com",
"chatenabled.mail.google.com",
"ci6.googleusercontent.com",
"ci3.googleusercontent.com",
"clients6.google.com",
"mail-attachment.googleusercontent.com",
"lh6.googleusercontent.com"

其中 oauth.googleusercontent.com 有国内的ip让我睡意消退了一些。
27417 次点击
所在节点    DNS
17 条回复
ooxxcc
2015-04-06 01:15:24 +08:00
应该就是DNS污染随机到了一个国内IP上吧。。
ooxxcc
2015-04-06 01:18:04 +08:00
仔细看了一下,应该是IP反查误差吧……既然证书合法,中间人没有私钥,怎么都没法截取你的数据
aarwwefdds
2015-04-06 01:26:50 +08:00
楼主的这个推导完全建立在错误的基础上的。

谷歌得知112.124.47.27是属于:
http://www.mwsl.org.cn/onedns/
112.124.47.27是一台阿里云的机器

他们可能在实验扶墙dns,方式是通过在服务器上直接返回权威IP。IP指向了一台腾讯云,腾讯云上可能做了SNIPROXY。

所以只是他们自己的行为而已。至于安全性,SNIPROXY并不能解码通信内容,它只是根据访问的SNI头转发SSL链接而已。
1423
2015-04-06 03:28:45 +08:00
这是 OneDNS 提供的 反向代理 的 IP,目的是翻墙
snowhs
2015-04-06 03:56:06 +08:00
@1423 能问一下消息来源吗?
xiaozhizhu1997
2015-04-06 06:34:25 +08:00
csi和fonts早被Google指向国内,203.208开头是Google在北京的IP。
至于那个情况…可能是:你-国内跳板-国外反代-Google
xieyudi1990
2015-04-06 06:41:46 +08:00
入口是腾讯的IP, 出口是Vultr.

应该是反代.
1423
2015-04-06 12:07:30 +08:00
@snowhs 谷歌一下这个 IP ,第一条不就是么
http://www.mwsl.org.cn/onedns/
Oi0Ydz26h9NkGCIz
2015-04-06 15:21:27 +08:00
112.124.47.27这是onedns的南方节点呀,你从www.onedns.net就能看到了。
至于203.195.174.41试试就知道是干嘛的了
snowhs
2015-04-06 17:50:06 +08:00
@1423 很抱歉我没有说清楚问题,让有的朋友误以为我在 `dig mail.google.com @112.124.47.27` 的时候都不知道自己在用 One DNS.
我说"能问一下消息来源吗?"的时候,想表达的是关于"这是 OneDNS 提供的 反向代理 的 IP,目的是翻墙",我想知道多一些,还想知道消息来源。
snowhs
2015-04-06 17:50:49 +08:00
@xieyudi1990 能请教一下是怎样查到 203.195.174.41 的出口在 Vultr 的吗?
JayFang1993
2015-04-06 19:55:42 +08:00
楼上们聊的都不懂。。顺便问下能给个手机收gmail邮件推送的解决方案吗,未越狱iphone和android,不想一直开着vpn
aarwwefdds
2015-04-06 20:07:00 +08:00
@snowhs OneDNS没明说,不过做了点黑箱测试可以知道这是他们有意这么设置的。之前我说用sniproxy可以做到,后来进一步测试了下,203.195.174.41这台服务器仅提供了谷歌的服务转发,而谷歌的IP都有通用性,这样的话更简单的做法是直接用类似rinetd的软件转发某个谷歌IP的443端口到自己的443上。
(其实他们真的可以用sniproxy,这样推特也可以用了)

至于203.195.174.41这台服务器怎么访问谷歌就很简单,很多方式可以实现,最简单的就是VPN了。
snowhs
2015-04-06 22:16:26 +08:00
@aarwwefdds 抱歉伸手,能指点一下这个黑箱测试怎么做吗?

> OneDNS没明说,不过做了点黑箱测试可以知道这是他们有意这么设置的
aarwwefdds
2015-04-06 22:51:10 +08:00
@snowhs 对他们那个DNS请求推特 FB 返回的都是空结果,说明他们有意防污染。国内其他DNS包括自己递归都是一般的谷歌IP。国内互通基本上是无墙的,基本排除墙。
203.195.174.41我几乎用任何谷歌域名请求都能返回正确的证书和页面,使用其他域名是谷歌的403页面。可以说明这个IP很可能只是转发了某个谷歌IP的443端口到自己的443端口上。这种转发很难MITM,很难知道双方通信内容,对墙这种已经掌控了出入口的东东来说毫无意义,那只能是OneDNS有意设置的一台反代了。
xieyudi1990
2015-04-06 23:03:59 +08:00
@snowhs 访问 https://203.195.174.41/, 忽略证书警告, 打开的是Google. 在这个打开的Google里搜索 "ip", Google就会显示这个连接客户端的IP, 然后在bgp.he.net里查询.

刚刚访问了一次, 和昨天的出口IP不同, 这次是香港的.
leavic
2015-04-07 12:26:17 +08:00
就是反向代理+DNS劫持,如果不做这个劫持,你又访问不了国外IP,那他们怎么帮你翻墙。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/181805

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX