对 Google 的证书嗅探

2016-06-25 16:32:09 +08:00
 a2213108
似乎很早之前,某神秘组织就开始了对 Google ip 的证书嗅探,几乎刚刚扫出来的 ip 瞬间就被路由黑洞。
那么问题来了,我注意到一些已经广为流传的 h.osts 文件所使用的 ip 已经很久没有更换,并且像这种流量很大的 ip ,应该很好发现,但是直到现在这个 ip 仍然可用。
这根本解释不通。我注意了一下,这是个新加坡 GGC ,那么我妄加揣测一下,这会不会是某神秘组织的蜜罐,用来拦截用户数据?这样就恐怖了
4894 次点击
所在节点    Google
28 条回复
New2016
2016-06-25 16:43:18 +08:00
把 ip 放出来看看
zsj950618
2016-06-25 16:45:33 +08:00
第一,用 https 访问 Google ,如果你电脑没被植入什么可疑的根证书,那么可以认为你和 Google 之间的通信是可信的且第三方无法截获。这应该算 SSL 常识。。。

第二, Google 大部分 ip 代反向解析。

比如随便拿个 Google 的 ip 举例:
216.58.197.14 ,怎么判断这个 ip 属于 Google 的呢?

1. dig -x 216.58.197.14 得到反向解析结果, kix06s02-in-f14.1e100.net.
2. 继续验证这个反向结果的正确性, dig kix06s02-in-f14.1e100.net. 得到 216.58.197.14
3. 于是验证结束, 216.58.197.14 这个 ip 属于 Google 。

PS : 1e100.net 是 Google 的域名, 1e100 也是 Google 名字的来源。
zsj950618
2016-06-25 16:48:31 +08:00
验证 ip 属于 Google 这一步中, dig kix06s02-in-f14.1e100.net 时请使用 dnssec ,即 dig kix06s02-in-f14.1e100.net +dnssec
linescape
2016-06-25 16:50:39 +08:00
某组织留几个 ip 给你们一条活路还不感恩戴德居然在这里怀疑人家
yexm0
2016-06-25 16:52:59 +08:00
你说的是 220.255.2.153 这个?
BFDZ
2016-06-25 16:57:37 +08:00
@linescape 我认为是墙太垃圾了
fengxing
2016-06-25 16:58:19 +08:00
先不说 GGC ,就算 AS15169 的官方 ip 段中,可以正常使用的 IP 就有上万个
再说 GGC ,全球大约有 3K 左右的 /24 段,这其中也很很多没有被封锁
并且因为和 google 的链接是 SSL ,现在没有任何组织可以拦截或者破解 SSL 数据的
前一段时间确实有过大面积的 封锁,涉及到 as15169 和绝大部分的 GGC ,所以证明 GFW 是有能力全部封锁,但是现在并没有全部封锁,所以说你先前假设的扫出来 IP 就被黑洞是错误的,导致后面的一系列话全都是错误的
fengxing
2016-06-25 16:59:49 +08:00
@BFDZ 并不是墙垃圾,而是不想把所有的口给全部封死,前一段墙证明自己有能力吧 google 的全部 IP 给干掉的
jhaohai
2016-06-25 17:04:32 +08:00
要封杀 Google 很简单, Google 有自己的 as 号,只要骨干路由不路由这个 as 就行了
BSD
2016-06-25 17:11:20 +08:00
墙真要封死 Google 其实很容易,因为 Google 分配到的 ip 段是公开的,直接全段封锁就搞定了,我也奇怪为嘛方叫兽不这么做。。。
Andy1999
2016-06-25 17:14:52 +08:00
@zsj950618 SNI Hello 可以使域名暴露
a2213108
2016-06-25 17:33:35 +08:00
@fengxing 关键是我自己用 checkgoogleip 扫出来的 ip 很快就失效,最快的几分钟就被黑洞,我比较纳闷
a2213108
2016-06-25 17:34:45 +08:00
@yexm0 就是这个
a2213108
2016-06-25 17:39:40 +08:00
@fengxing 不过我的意思是 ggc 是部署在运营商的机房,难道就不能在服务器上做点手脚吗
wdlth
2016-06-25 19:05:29 +08:00
@a2213108 目前国服网只是象征性的把*.google.com 证书的认证了,很多 video 、 orkut 证书的都没有太严格的封锁,无非只是为了使大部分网民不能随便上 Google 。有的 GGC 速度实在是太不理想了,用的人也不多,流量一大 GGC 自己都会封掉非本网的流量。
像上面那个,电信走 Telia 绕美国,谁爱用就用吧,一段时间后就封,然后再开放另外一批……
yexm0
2016-06-25 19:22:52 +08:00
@wdlth 三大里唯独就电信绕了。挺奇葩的
zsj950618
2016-06-25 21:11:38 +08:00
@Andy1999 仅限域名,连 path 都无法暴露。 so ?
neilp
2016-06-25 21:37:23 +08:00
sni 其实是万恶之源, 造成了 ssl 的不安全.
neilp
2016-06-25 21:46:42 +08:00
ssl 其实是端到端加密, 所以理论上可以抵抗中间环节的 窃听和截取. 即使是运营商或者机房也无可奈何.

所以, 我每次 用谷歌 都要打开证书详情, 看看是由那个 CA 签的.
kslr
2016-06-26 06:17:00 +08:00
谢谢提醒,我们会尽快安排人手清查漏网之鱼。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/288264

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX