V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
onion83
V2EX  ›  宽带症候群

8.8.8.8 背后的 61 个节点

  •  
  •   onion83 · 2016-02-29 16:34:01 +08:00 · 18788 次点击
    这是一个创建于 3189 天前的主题,其中的信息可能已经有所发展或是发生改变。
    46 条回复    2016-03-05 10:46:52 +08:00
    hging
        1
    hging  
       2016-02-29 17:12:51 +08:00
    为什么我这 118 个.
    SplendentDraco
        2
    SplendentDraco  
       2016-02-29 17:16:51 +08:00
    110 个
    b821025551b
        3
    b821025551b  
       2016-02-29 17:17:25 +08:00
    120 个
    aveline
        4
    aveline  
       2016-02-29 17:18:41 +08:00
    c
        5
    c  
       2016-02-29 17:30:56 +08:00
    149 211.98.71.120 铁通_北京市 2016-02-29
    150 211.98.71.121 铁通_北京市 2016-02-29
    151 211.98.71.122 铁通_北京市 2016-02-29
    152 211.98.71.123 铁通_北京市 2016-02-29
    153 211.98.71.124 铁通_北京市 2016-02-29
    154 211.98.71.125 铁通_北京市 2016-02-29
    155 211.98.71.126 铁通_北京市 2016-02-29
    156 211.98.71.127 铁通_北京市 2016-02-29
    daocao
        6
    daocao  
       2016-02-29 17:58:37 +08:00
    103
    DesignerSkyline
        7
    DesignerSkyline  
       2016-02-29 18:00:26 +08:00
    103 个
    话说最后几个是铁通的,这是 anycast 吗?
    blueset
        8
    blueset  
       2016-02-29 18:13:56 +08:00
    247 个,其中 8 个铁通的。

    http://pastebin.com/9ZSTksMX
    onion83
        9
    onion83  
    OP
       2016-02-29 18:22:11 +08:00
    抛砖引玉,其实大家还是试试

    114.114.114.114
    180.76.76.76 (百度)
    119.29.29.29 (腾讯)
    223.5.5.5 (阿里)

    他们的节点分布状况.
    onion83
        10
    onion83  
    OP
       2016-02-29 18:37:26 +08:00
    另外 现在发现天津联通有部分线路确实被 anycast 优化过,[测试结果]( http://www.17ce.com/site/ping/201602_883b9f964f2d92a9e455410d835ae0cc.html)

    ···
    traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
    1 60.28.115.1 (60.28.115.1) 5.061 ms 5.829 ms 5.130 ms
    2 no-data (125.39.79.93) 3.803 ms * *
    3 dns105.online.tj.cn (117.8.160.105) 0.968 ms dns61.online.tj.cn (117.8.226.61) 4.131 ms dns85.online.tj.cn (117.8.160.85) 0.879 ms
    4 61.181.148.138 (61.181.148.138) 1.141 ms dns85.online.tj.cn (117.8.156.85) 6.036 ms 1.142 ms
    5 * * *
    6 google-public-dns-a.google.com (8.8.8.8) 3.221 ms * *
    ···

    所有版内有 v 友叫 ping 值逆天,这是正常事情。

    问题来,这些国内的节点有没有没和谐过?
    redsonic
        11
    redsonic  
       2016-02-29 19:36:57 +08:00   ❤️ 1
    @onion83 由于它是根据递归查询的 ip 地址来确定“真实地址”,所以如果 8888 被劫持了,结果中也包含劫持 DNS 服务器的真实地址。铁桶那些是什么来路你应该知道了。真正的 peer 4 楼已经贴了。
    est
        12
    est  
       2016-02-29 19:39:06 +08:00
    42 个
    bclerdx
        13
    bclerdx  
       2016-02-29 21:33:45 +08:00
    @aveline 看不懂是啥意思
    bclerdx
        14
    bclerdx  
       2016-02-29 21:34:22 +08:00
    @onion83 什么叫被 anycast 优化过?
    ssh
        15
    ssh  
       2016-02-29 22:08:56 +08:00
    啊,能用“普通话”说明一下是什么意思,以及用途吗?
    zjj2008se
        16
    zjj2008se  
       2016-03-01 00:37:36 +08:00 via Android
    @bclerdx 就是相当于被重定向了,只是你无法感知而已
    dzxx36gyy
        17
    dzxx36gyy  
       2016-03-01 01:38:25 +08:00
    @bclerdx 优化是戏称,说白了就是劫持,移动在这方面做的比较多,很多 dns 都会被移动劫持,表现为延迟异常低,查询都是被重定向到移动自己的服务器上的,所以返回的结果很有可能是被污染的。
    decken
        18
    decken  
       2016-03-01 01:54:18 +08:00 via Android
    114.114.114.114 没有电信的?
    shiji
        19
    shiji  
       2016-03-01 02:28:19 +08:00
    @onion83 话说这个结果跟测试者所在的地区有关系么?
    onion83
        20
    onion83  
    OP
       2016-03-01 12:12:54 +08:00
    楼主非网络专业,纯粹个人见解。
    -------------------------------------------

    @bclerdx anycast 或者所谓的 BGP 简单来说就同一个 IP 对外提供服务,后面挂 n 个服务器。

    如果简单做过运维的同学应该都知道有个叫虚拟 IP(VIP) 的概念,只不过 LVS 做的 VIP 一般只能用在同一局域网中,两台主机做主备,一台挂了另外一个,在交换机广播相同 mac ,进行接管 ( arp 欺骗同理?).

    而做 anycast 一般都需要自己申请 AS ,在骨干网路由器之间路进行宣告,通过自动计算最短路径,进行就近访问。因为这种技术是无状态的,所以非常适合做类似 DNS 这种查完就走的业务。


    @redsonic

    我理解的“劫持”分几种:

    1 、旁路:类似 GFW 这种,也是无状态的。在骨干路由分光,进行包检测。发现异常后利用网络就近优势,抢先发 RST 包(双向),让 client/server 端认为对方中断达到拦截目的。

    2 、路由:这目前是我疑惑的,类似 8.8.8.8 极低延时这种,通过 CloudXNS 查出来有铁通的 IP ,众所周知,路由器上对应的真实 IP 是通过 anycast 进行宣告的,难道路由器管理员手动干预了宣告的结果,进行“加料"? 这样互联网太恐怖了,同样一个 IP 地址,杀人于无形,查都没法查。

    有意思的是,通过 CloudXNS 的查出来的 114.114.114.114 背后的节点,同样包含 211.98.71.120-127 8 台服务器,难道 114 同样被”劫持"?

    3 、应用层: 这个大家都很熟悉了,先用 DNS 污染,然后给加料页面。或者设备串联路由器,直接修改数据包。

    -------------------------------------------

    我想再请教两个问题:

    1 、请教 @CloudXNS 讲解下 "本地 DNS 探测分析"是怎么实现的
    2 、请教网络专业的 v 友, anycast 的 IP 能不能人为在路由器上干扰。
    raysonx
        21
    raysonx  
       2016-03-01 12:22:56 +08:00
    @onion83 凭我的理解,运营商劫持 8.8.8.8 并没有使用你想象的那么复杂的方案。
    1. 方式一,静态路由。设置一台机器,手动指定它的 IP 为 8.8.8.8 ,然后配置静态路由将访问 8.8.8.8 的流量路由到这台机器。他们并没有把这个虚假路由宣告出去,所以不会对其他运营商造成影响。
    2. 方式二, DNAT 。 NAT 有两种方式,我们家庭中用于共享 IP 地址上网的方式是 SNAT ,还有另一种方式是 DNAT ,即在路由器上直接使用 DNAT 方式更改 IP 包的目的 IP 地址( 8.8.8.8 )为劫持机器的 IP ,待劫持机器返回处理结果后再将虚假报文的源地址改为 8.8.8.8 。
    esxivistawrt
        22
    esxivistawrt  
       2016-03-01 13:04:15 +08:00
    最著名的任播地址是 192.88.99.1 和 2002:c058:6301::1
    onion83
        23
    onion83  
    OP
       2016-03-01 13:27:54 +08:00
    @raysonx 静态路由这种实现太赞了!!!
    bclerdx
        24
    bclerdx  
       2016-03-01 13:31:13 +08:00
    @dzxx36gyy 延迟极低就表示被劫持了么?求这方面的详细科普及辨别方法~
    bclerdx
        25
    bclerdx  
       2016-03-01 13:34:15 +08:00
    @dzxx36gyy 我们这里的 ISP 也经常给我灌输,你有网络地址后网络 IP 么,给你优化试试,而当我问他为什么不能对全局 IP 线路即 0.0.0.0-255.255.255.255 之前抛出局域网的 C 类 IP 时,该 ISP 相关人士说不可能做到,说会涉及到很多部门,我有点想不通,为什么全局 IP 精准分流和优化就有那么难么?
    bclerdx
        26
    bclerdx  
       2016-03-01 13:36:57 +08:00
    @raysonx 如何是加密出去就应该改不了了吧?
    bclerdx
        27
    bclerdx  
       2016-03-01 13:42:21 +08:00
    @onion83 虚拟 IP(VIP)是不是可以理解为一些网络运营商进行 PPPoE 拨号后,由 BRAS 下发分配的大家俗称的内网 IP ,而非真实的公网 IP , BRAS 下发分配的内网 IP 或者说虚拟 IP ( VIP )共同访问一个网关出口出去。。
    CloudXNS
        28
    CloudXNS  
       2016-03-01 14:48:41 +08:00
    @onion83 具体技术本萌宝宝不懂,只知道似乎是每天向 8.8.8.8 发某域名请求查询的信息,然后从 NS 服务器取得 8.8.8.8 的 RIP 信息。~
    大家觉得好用、喜欢就好。
    yexm0
        29
    yexm0  
       2016-03-01 15:15:39 +08:00 via Android
    @CloudXNS 不如让技术有空的话过来疑难解答一下?
    onion83
        30
    onion83  
    OP
       2016-03-01 17:20:21 +08:00
    @bclerdx 一个 ISP 通常会有多个备份路由,当你投诉后他们会确认下是否属实,然后人工加条静态路由处理下,他们不会也懒得去处理您的要求 ,鉴于 ISP 的骨干网的复杂情况( via : https://www.v2ex.com/t/239877 ),一般是不会轻易动路由器的。

    再说一个真实 IP 的问题,即使给你一个看起来正规的公网 IP (非 10.x,192.x,172.x ),不一定说明你可以直接连骨干网的路由器,例如北京的宽带通、长城宽带之流,你用 tracert 跟一下就知道了,两三跳之后又转入 10.x 网段了,然后再次路由找网关出去,所以用 Ip.cn 之类的查 IP ,地址就是河北电信、天津网通之类的了。
    redsonic
        31
    redsonic  
       2016-03-01 17:47:40 +08:00
    问题 1 “本地 DNS 探测分析"是怎么实现的“ ,以下是猜测,估计差不多: CloudXNS 的后端下发分布式查询请求(各地运营商),请求的域名为 CloudXNS 事先注册好并托管到自己的 NS 服务器上的。然后 CloudXNS 记录递归查询的源 ip ,该 ip 就是所谓的真实 ip 。原理和 dig @8.8.8.8 whoami.akamai.com 应该是一样的,只不过 CloudXNS 是多地查询,得到的源更全面。

    问题 2 大规模的 anycast 应该都是基于 BGP 的,而 BGP 的安全问题非常堪忧,具体可以看 https://github.com/mininet/mininet/wiki/BGP-Path-Hijacking-Attack-Demo
    之前 google 已经遭到类似攻击

    BTW , 114 的那个网段是个特殊网段,好像是被国际组织承认了得 anycast 网段,用 whois -h v4-peer.whois.cymru.com 可以看到 114.114.112.0/21 属于多个 AS ,而 whois -h whois.apnic.net 114.114.114.114 则指明属于信封,说明 114 肯定不是劫持出来的。
    redsonic
        32
    redsonic  
       2016-03-01 17:59:52 +08:00
    @onion83 再补充一下,其实目前劫持公共 DNS 的手段中根本用不着什么 anycast ,运营商在汇聚层有众多的串接设备(比如 DPI ),随便找一台装一个 dns 模块就行了,本来生成或修改 dns 应答的代码就非常简单。所以你经常看到有人投诉得到回应“劫持是因为被攻击,不是自己造成的“ 或 ”没有问题,本来就是这样的“, 这是因为串的东西太多了,自己搞不清楚,也不知道谁清楚。如果是动路由,运营商都是有记录的,就算没记录登到设备上去查也就都知道了,但你要让他登录 DPI 上面看看具体跑了什么代码 他肯定是不懂的。
    Asimov
        33
    Asimov  
       2016-03-01 18:01:23 +08:00 via Android
    aivier
        34
    aivier  
       2016-03-01 18:07:19 +08:00
    @onion83 GFW 已经升级成黑洞路由了
    VmuTargh
        35
    VmuTargh  
       2016-03-01 18:11:49 +08:00
    @aivier https://ooo.0o0.ooo/2016/03/01/56d56bed1cab2.png
    dzxx36gyy
        36
    dzxx36gyy  
       2016-03-01 18:57:01 +08:00 via Android
    @VmuTargh 这不是 gfw ……这只是部分跃点(中间路由)设置为不响应 ping(icmp 包),事实上一般认为某墙是类似于旁路设备的,在网络中不会出现实际地址……
    bclerdx
        37
    bclerdx  
       2016-03-01 19:07:44 +08:00
    @dzxx36gyy 即便 GFW 是旁路设备,那么也肯定是通电的一组高端设备,就肯定有备案记录。不可能是三无产品。
    bclerdx
        38
    bclerdx  
       2016-03-01 19:12:06 +08:00
    @onion83 其实呢,北京宽带通、长城宽带之类鹏博士电信传媒集团的下属品牌宽带的这些是走 NAT 的, NAT 资源都有多条(一般是指 BRAS 绑定多个不同的该 ISP 的多个互联网出口),根据访问出口拥堵情况,自动动态路由选择,当返回电信 NAT ,那么外网 IP 就是电信的;当返回联通 NAT ,外网 IP 就是联通的。但绝对与家庭路由器 PPPoE 的 WAN 口拨号后的 IP 是不一致的。
    est
        39
    est  
       2016-03-01 19:23:17 +08:00
    @aivier 这个不用升级。。 Cisco 直接就支持。抵抗 DDoS 也是用黑洞路由。 null routing
    wdlth
        40
    wdlth  
       2016-03-01 21:58:40 +08:00
    1.2.4.8 的出口是阿里云?
    bclerdx
        41
    bclerdx  
       2016-03-01 23:51:58 +08:00
    @est 哈哈,空路由~
    hging
        42
    hging  
       2016-03-02 00:58:51 +08:00 via iPhone
    @Asimov 什么鬼
    skylancer
        43
    skylancer  
       2016-03-02 09:42:55 +08:00
    @bclerdx 你大陆到台湾的延迟有个位数?想想都知道明显有问题
    CloudXNS
        44
    CloudXNS  
       2016-03-02 10:16:55 +08:00
    @redsonic 你们都比我更懂,还要我出丑~ 讨厌<( ̄ 3  ̄)>
    onion83
        45
    onion83  
    OP
       2016-03-02 14:00:19 +08:00
    @redsonic 谢谢大神指教,尤其是静态路由这招太牛了,
    firefox12
        46
    firefox12  
       2016-03-05 10:46:52 +08:00 via iPad
    这个技术是怎么查到的? 一个 IP 还能映射到其他 IP ?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2085 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:38 · PVG 08:38 · LAX 16:38 · JFK 19:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.