CloudFlare IP 再次被 TCP 劫持

2019-08-03 23:50:21 +08:00
 Archeb
受影响 IP 为 104.28.28.149 ,正常打开应该是 Direct IP access not allowed,被劫持了会跳转到菠菜网站

症状同两个月前的
https://www.v2ex.com/t/572057
https://www.v2ex.com/t/572031
12022 次点击
所在节点    宽带症候群
65 条回复
ZRS
2019-08-04 18:09:58 +08:00
稳定复现
ochatokori
2019-08-04 20:46:58 +08:00
广州移动 4g 复现
jousca
2019-08-04 20:55:28 +08:00
感觉这个方式就是典型的 BGP 劫持
CernetBoom
2019-08-04 21:02:27 +08:00
@jousca 哈? BGP Hijack 你 ICMP 还能通?
jousca
2019-08-04 21:03:07 +08:00
jousca
2019-08-04 21:05:52 +08:00
@CernetBoom ICMP 包发出去和返回难道不遵循 BGP 路由??
CernetBoom
2019-08-04 21:08:04 +08:00
@jousca 那你还说什么 BGP Hijack ? ICMP 和 TCP 的路由都不一样,ICMP 的路由是正常的好吗?

所以 AS_PATH 呢?结果呢?
jousca
2019-08-04 21:11:11 +08:00
@CernetBoom 观察到了。TCP 异常,而且出问题的地方都在关键出口,看来我在 16 楼推测是对的,就是利用 GFW 设备的灰产。ICMP 反而正常。
jousca
2019-08-04 21:16:48 +08:00
确认了一遍。墙外正常,包括 HK 都正常,出问题都在墙内。
jousca
2019-08-04 21:19:00 +08:00
loukky
2019-08-04 21:25:48 +08:00
bibiisme
2019-08-04 21:51:28 +08:00
教育网下午还有劫持,刚刚测了下劫持没有了。出问题的地方是在出国前倒数第二跳,这个劫持的手也伸得太长了
https://s2.ax1x.com/2019/08/04/ecpyqA.png
https://s2.ax1x.com/2019/08/04/ecpcVI.png
Liqianyu
2019-08-05 00:00:57 +08:00
北京联通、北京移动、上海阿里云、杭州阿里云复现。
Liqianyu
2019-08-05 00:04:00 +08:00
跟上一条
通过 IPIP 可以判断大陆整体都有劫持。
发链接会触发 V2EX 验证手机号要求。
yexm0
2019-08-05 00:25:11 +08:00
@Liqianyu 去掉前面的 http 或者 https 就行
smileawei
2019-08-05 16:39:31 +08:00
查了几个。这些域名竟然还都是备案过的。估计域名也是盗取的
smileawei
2019-08-05 16:46:41 +08:00
这些域名都有 CNAME 到 nbgslb.com 这个域名是阿里云的全球负载均衡的域名。挺舍得投入呀。
smileawei
2019-08-05 16:51:22 +08:00
更正 37 楼的信息。
该域名来自于 Chipmunkeyzsd@gmail.com 注册 。
地址为:广州市白云区均禾街均禾大道 67 号
Kowloon
2019-08-05 16:54:42 +08:00
天津联通:复现。
香港宽频:正常。
Peanut666
2019-08-05 18:53:06 +08:00
这么高级权限的劫持,该往哪个部门投诉?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/588848

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX