電信連 IDC 機房都開始搞 HTTP 劫持?

2016-06-27 04:54:09 +08:00
 akw2312

之前就發現過家用電信也開始搞 HTTP 劫持了 而且範圍好像都是國外?

剛剛朋友在他杭州下沙機房(電信線路)的機器測試 結果也被劫持了

root@admin1:~# wget http://103.249.71.49/mini.zip
--2016-06-27 04:00:33--  http://103.249.71.49/mini.zip
Connecting to 103.249.71.49:80... failed: Connection timed out.
Retrying.

--2016-06-27 04:00:37--  (try: 2)  http://103.249.71.49/mini.zip
Connecting to 103.249.71.49:80... failed: Connection timed out.
Retrying.

--2016-06-27 04:00:42--  (try: 3)  http://103.249.71.49/mini.zip
Connecting to 103.249.71.49:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://101.96.10.61/103.249.71.49/mini.zip [following]
--2016-06-27 04:00:42--  http://101.96.10.61/103.249.71.49/mini.zip
Connecting to 101.96.10.61:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 98808345 (94M) [application/x-zip-compressed]

可以發現位於 101.96.10.0/23 這個段本來是內蒙古 ctyun 用的 現在被廣播到了 AS4812 去了 也就是上海 以基本上可以確定這 /23 內的緩存服務器是電信搞的

然後簡單測試了一下 似乎是任何 HTTP 資源都可以緩存 手動測試了一下 網頁都可以照樣緩存 有沒有其他的用法暫時沒測試

9040 次点击
所在节点    宽带症候群
46 条回复
typcn
2016-06-28 21:24:55 +08:00
@fengxing 这里显示全部都是 200 啊
fengxing
2016-06-28 21:26:09 +08:00
@typcn 点开右边的详情你就明白了
fengxing
2016-06-28 21:26:38 +08:00
@typcn 右边的查看
typcn
2016-06-28 21:44:44 +08:00
@fengxing

北京联通 -- 指向了联通的缓存服务器,服务器为 HRS/1.4.2 ,伪造包的 TTL 为 50 左右,正常包 TTL 为 100+

HTTP/1.0 302 Found
Server: HRS/1.4.2
...
Location: http://120.52.73.8/103.249.71.49/mini.zip


广东电信 -- 指向了电信的缓存服务器,服务器为 HRS/1.4.2 ,伪造包的 TTL 为 50 左右,正常包 TTL 为 100+

HTTP/1.0 302 Found
Server: HRS/1.4.2
...
Location: http://101.110.118.73/103.249.71.49/mini.zip


只接入了联通线路,但是某 IP 库中归属地为电信的服务器 -- 指向了电信的缓存服务器,服务器为 HRS/1.4.2 ,伪造包的 TTL 为 50 左右,正常包 TTL 为 100+

* HTTP 1.0, assume close after body
< HTTP/1.0 302 Found
< Server: HRS/1.4.2
...
< Location: http://101.96.8.141/103.249.71.49/mini.zip



您觉的这是运营商的劫持么?
raysonx
2016-06-28 21:58:27 +08:00
@typcn 我自己的服务器都被劫持了,运营商劫持无疑
typcn
2016-06-28 22:01:03 +08:00
@raysonx 这是哪家运营商用纯真 IP 库根据你是联通还是电信,把你劫持到不同运营商的缓存服务器上去?
IP 库里的错误都能重现
fengxing
2016-06-28 22:08:35 +08:00
@typcn 120.52.73.0/24 和 120.52.72.0/24 一直是联通的劫持服务器,并不是 CDN
fengxing
2016-06-28 22:09:56 +08:00
@typcn 并且你见过哪家的 CDN 能任意代理所有地址的?????
lingaoyi
2016-06-28 22:10:05 +08:00
@vibbow 繁体又怎样的?
raysonx
2016-06-28 22:10:33 +08:00
@typcn 我同时有电信和联通的光纤,也有美国日本韩国的 vps ,自己的 vps 都会被劫持还能不知道?
raysonx
2016-06-28 22:13:43 +08:00
@typcn 至于你说的只接入了联通线路那个,你可以试试在两端互相做路由追踪看一看经过了哪家运营商的国际出口
typcn
2016-06-28 22:20:55 +08:00
@raysonx traceroute 当然是经过了联通的国际出口,至于远端不是我自己的,我也没有办法测试。

@fengxing 如果您实在理解不了,我发的第一句话意思是“可以用缓存服务器免费当 CDN 用了”。

如果您理解不了我那段运营商劫持数据想表达的意思,那我来解释一下。

不同地点伪造包的 TTL 大致相同, TCP 包的 ID 完全相同,甚至连 Server 头都相同,这表明劫持是由同一台设备,同一个软件发出的。

那么请问这台服务器是哪家运营商的? 它为什么又会帮联通劫持,又会帮电信劫持? 而且还会错误的把部分联通 IP 劫持到电信的服务器上?
raysonx
2016-06-28 22:23:14 +08:00
@typcn 我大胆推测一下,这种缓存劫持系统是外包的,很可能都是外包给了同一家公司。
你看劫持服务器返回的时间都是错的。
typcn
2016-06-28 22:27:02 +08:00
@raysonx 那也就是电信和联通,把两个物理位置都不在一个城市的线路,接上分光器连到劫持公司所在的同一台设备咯?

算了,懒得继续回复了。。。。
raysonx
2016-06-28 22:28:55 +08:00
@typcn 劫持系统只布在国际出口局就够了,中国的国际出口目前只有北京、上海和广州。
fengxing
2016-06-28 22:29:38 +08:00
@typcn
@raysonx 劫持服务器确实是外包的,联通的缓存招标文件现在网上还有,所以联通和电信同时使用同一家公司的缓存系统是非常可能的
yexm0
2016-06-28 23:22:28 +08:00
@fengxing 电信上年的招标文件,今年的没找到:http://webcache.googleusercontent.com/search?q=cache:5R2zVacJoi4J:caigou.chinatelecom.com.cn:8010/ESCM/biddoc/publicDetailTest.do%3Fid%3D10498+&cd=3&hl=zh-CN&ct=clnk&gl=cn
tsungkang
2016-06-29 09:24:55 +08:00
@zkd8907 腾讯的东西也敢劫持?看来电信越来越牛逼了……
lslqtz
2016-06-29 21:55:14 +08:00
感谢,又有新的缓存服务器可以用了,我去我贴更新 AppEnd 。
akw2312
2016-06-30 07:35:41 +08:00
@vibbow 圖是我朋友的...
我電腦的系統是繁體的啊(
我人在台灣當然用繁體咯

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/288493

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX