8.8.8.8 背后的 61 个节点

@onion83 凭我的理解，运营商劫持 8.8.8.8 并没有使用你想象的那么复杂的方案。
1. 方式一，静态路由。设置一台机器，手动指定它的 IP 为 8.8.8.8 ，然后配置静态路由将访问 8.8.8.8 的流量路由到这台机器。他们并没有把这个虚假路由宣告出去，所以不会对其他运营商造成影响。
2. 方式二， DNAT 。 NAT 有两种方式，我们家庭中用于共享 IP 地址上网的方式是 SNAT ，还有另一种方式是 DNAT ，即在路由器上直接使用 DNAT 方式更改 IP 包的目的 IP 地址（ 8.8.8.8 ）为劫持机器的 IP ，待劫持机器返回处理结果后再将虚假报文的源地址改为 8.8.8.8 。

最著名的任播地址是 192.88.99.1 和 2002:c058:6301::1

@raysonx 静态路由这种实现太赞了！！！

@dzxx36gyy 延迟极低就表示被劫持了么？求这方面的详细科普及辨别方法~

@dzxx36gyy 我们这里的 ISP 也经常给我灌输，你有网络地址后网络 IP 么，给你优化试试，而当我问他为什么不能对全局 IP 线路即 0.0.0.0-255.255.255.255 之前抛出局域网的 C 类 IP 时，该 ISP 相关人士说不可能做到，说会涉及到很多部门，我有点想不通，为什么全局 IP 精准分流和优化就有那么难么？

@raysonx 如何是加密出去就应该改不了了吧？

@onion83 虚拟 IP(VIP)是不是可以理解为一些网络运营商进行 PPPoE 拨号后，由 BRAS 下发分配的大家俗称的内网 IP ，而非真实的公网 IP ， BRAS 下发分配的内网 IP 或者说虚拟 IP （ VIP ）共同访问一个网关出口出去。。

@onion83 具体技术本萌宝宝不懂，只知道似乎是每天向 8.8.8.8 发某域名请求查询的信息，然后从 NS 服务器取得 8.8.8.8 的 RIP 信息。~
大家觉得好用、喜欢就好。

@CloudXNS 不如让技术有空的话过来疑难解答一下？

@bclerdx 一个 ISP 通常会有多个备份路由，当你投诉后他们会确认下是否属实，然后人工加条静态路由处理下，他们不会也懒得去处理您的要求 ，鉴于 ISP 的骨干网的复杂情况（ via ： https://www.v2ex.com/t/239877 ），一般是不会轻易动路由器的。

再说一个真实 IP 的问题，即使给你一个看起来正规的公网 IP （非 10.x,192.x,172.x ），不一定说明你可以直接连骨干网的路由器，例如北京的宽带通、长城宽带之流，你用 tracert 跟一下就知道了，两三跳之后又转入 10.x 网段了，然后再次路由找网关出去，所以用 Ip.cn 之类的查 IP ，地址就是河北电信、天津网通之类的了。

问题 1 “本地 DNS 探测分析"是怎么实现的“ ，以下是猜测，估计差不多： CloudXNS 的后端下发分布式查询请求（各地运营商），请求的域名为 CloudXNS 事先注册好并托管到自己的 NS 服务器上的。然后 CloudXNS 记录递归查询的源 ip ，该 ip 就是所谓的真实 ip 。原理和 dig @8.8.8.8 whoami.akamai.com 应该是一样的，只不过 CloudXNS 是多地查询，得到的源更全面。

问题 2 大规模的 anycast 应该都是基于 BGP 的，而 BGP 的安全问题非常堪忧，具体可以看 https://github.com/mininet/mininet/wiki/BGP-Path-Hijacking-Attack-Demo
之前 google 已经遭到类似攻击

BTW ， 114 的那个网段是个特殊网段，好像是被国际组织承认了得 anycast 网段，用 whois -h v4-peer.whois.cymru.com 可以看到 114.114.112.0/21 属于多个 AS ，而 whois -h whois.apnic.net 114.114.114.114 则指明属于信封，说明 114 肯定不是劫持出来的。

@onion83 再补充一下，其实目前劫持公共 DNS 的手段中根本用不着什么 anycast ，运营商在汇聚层有众多的串接设备（比如 DPI ），随便找一台装一个 dns 模块就行了，本来生成或修改 dns 应答的代码就非常简单。所以你经常看到有人投诉得到回应“劫持是因为被攻击，不是自己造成的“ 或 ”没有问题，本来就是这样的“， 这是因为串的东西太多了，自己搞不清楚，也不知道谁清楚。如果是动路由，运营商都是有记录的，就算没记录登到设备上去查也就都知道了，但你要让他登录 DPI 上面看看具体跑了什么代码 他肯定是不懂的。

@hging

@onion83 GFW 已经升级成黑洞路由了

@aivier https://ooo.0o0.ooo/2016/03/01/56d56bed1cab2.png

@VmuTargh 这不是 gfw ……这只是部分跃点(中间路由)设置为不响应 ping(icmp 包)，事实上一般认为某墙是类似于旁路设备的，在网络中不会出现实际地址……

@dzxx36gyy 即便 GFW 是旁路设备，那么也肯定是通电的一组高端设备，就肯定有备案记录。不可能是三无产品。

@onion83 其实呢，北京宽带通、长城宽带之类鹏博士电信传媒集团的下属品牌宽带的这些是走 NAT 的， NAT 资源都有多条（一般是指 BRAS 绑定多个不同的该 ISP 的多个互联网出口），根据访问出口拥堵情况，自动动态路由选择，当返回电信 NAT ，那么外网 IP 就是电信的；当返回联通 NAT ，外网 IP 就是联通的。但绝对与家庭路由器 PPPoE 的 WAN 口拨号后的 IP 是不一致的。

@aivier 这个不用升级。。 Cisco 直接就支持。抵抗 DDoS 也是用黑洞路由。 null routing

1.2.4.8 的出口是阿里云？