Github pages 的 HTTPS 是不是出问题了？

@alect 我套了好像不行

githubstatus.com 也被劫持了

@alect 可以

海南电信 pages.github.com 挂了，github.com 正常。

@hshpy 为啥我不行，能指导下不？ Q9871435

复现加 1

江苏移动，pages.github.com,desktop.github.com,githubstatus.com 都挂了，主站正常

@hooon 你本地 dns 缓存清下，套上后等生效。

这玩意劫持怎么好像随便 SNI 发什么都会按照 SNI 连出去的样子，测了微软

荷兰电信正常

山东电信家宽 连接超时 根本打不开
山东移动 4G 成功复现 pages.github.com *.github.io 都挂了

openssl s_client -host githubstatus.com -port 443 -showcerts -servername www.microsoft.com

北京联通复现

浙江电信复现，上海腾讯云复现

广东电信复现

北京电信复现

福建电信复现

比较高层次的中间人攻击。

为啥我没被挟持

我的开启 https 也出问题

江西电信复现

北京联通复现

百度搜索该邮箱，从 csdn 一篇帖子 https://blog.csdn.net/yhyhyhy/article/details/51248497#comments 的评论中找到了与该邮箱相关的人，https://me.csdn.net/qq_29158525

北京移动复现

有人能具体解释一下原理吗?

```
ubuntu@VM-0-4-ubuntu:~$ openssl s_client -showcerts -connect pages.github.com:443
CONNECTED(00000005)
depth=1 C = CN, ST = GD, L = SZ, O = COM, OU = NSP, CN = CA, emailAddress = [email protected]
verify error:num=19:self signed certificate in certificate chain
```

@hshpy 清理本地 dns 就能打开网站了吗

@hooon # 101 刚试了自己的博客，套了 Cloudflare 的，没事

@codevvvv9 185.199.108.153,185.199.111.153,185.199.110.153,185.199.109.153 这 4 个国内 TCP 路由有问题。套上 CF 清缓存应该就没问题了，只要博客不要有域名解析这 4 个 IP 。

北京联通复现 刚才以为是个例 没想到原来大家都有这个问题

路由广播风暴？

这种不是一般的 BGP leak，因为如果是路由泄漏不会只泄漏 443 而 80，ICMP 都正常。应该是在骨干路由器上做的 PBR 仅把 443 端口给劫持了。

能做到七层精准劫持的一定不是那么简单。

根据证书 Google 了，GD SZ NSP 关键词搜索到了
Shenzhen NSP Ligting Technology Co.,Ltd
www.nsplight.com
菠菜网站，不知道这位大佬跟这个有没有关系。

@TongSyu GD SZ NSP 我感觉是这个 https://www.jianshu.com/p/8eb3c6888bef

但是就奇怪了……
用 chrome 打开 pages.github.com ，会提示该站点有 HSTS 连强行连接的选项都没，那么是在做压力测试呢，还是在做国产浏览器占有率调研呢

@hshpy 具体怎么操作啊

@RyuZheng 我两个网站，一个使用腾讯的 SSL 证书可以打开，一个使用 freessl 的证书不行，全局代理访问没问题

Cloudflare 绕过

重庆联通也复现了...这次有点王炸

测试结果：
洛杉矶电信正常
郑州移动复现
许昌联通复现
腾讯云（重庆）复现
阿里云（北京）无法打开

DNS 污染现场？

@chinvo 真相了？看他简书里面的确是有
openssl req -new -key server_rsa_private.pem -passin pass:server -out server.csr -subj "/C=CN/ST=GD/L=SZ/O=COM/OU=NSP/CN=SERVER/[email protected]"

这是什么人？竟有这么大的能力？

我的套了一层 cloudflare 可以访问

@chinvo 蛛丝马迹又找到了这个
openssl 实现双向认证教程
https://www.lagou.com/lgeduarticle/52972.html

复现加一，还以为是自己网络有问题，挂代理后正常。

@alect CF 可以解决，因为用的是 CF 的证书

@codevvvv9 套 Cloudflare，具体谷歌。

@TongSyu 也许只是劫持的人参考了个教程？

@alan0liang 也许吧，待我去查查 138qb.cn 的互联网档案。

希望是暂时的...

各位以后写教程的时候记得别把自己信息写进去

四川移动 firefox/new edge：页面载入出错，响应时间过长

我就说今天下午怎么回事，排除问题排查了半天，江苏电信 江苏联通已复现

@forgottencoast 四川电信也是

17 天前我就注意到有人在劫持谷歌 IP，好像查看证书时也出现这个 QQ

当时在这个帖子下面提了一嘴 www.v2ex.com/t/651016#reply8

江苏电信,直接无法打开

河南郑州联通已被劫持

@RyuZheng Cloudflare 只有 cname 啊，我就是永的 Cloudflare 的 cname 还是不行，你是怎么弄的？

济南联通复现
但是我在服务器上写了个 301 重定向，用我自己的域名+证书可以正常访问，没提示错误

劫持复现，又搞大动作

上海电信复现

+1 上海电信

➜ ~ curl -vvv https://go-acme.github.io/ -k -I
* Trying 185.199.109.153...
* TCP_NODELAY set
* Connected to go-acme.github.io (185.199.109.153) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/cert.pem
CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256
* ALPN, server did not agree to a protocol
* Server certificate:
* subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; [email protected]
* start date: Sep 26 09:33:13 2019 GMT
* expire date: Sep 23 09:33:13 2029 GMT
* issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; [email protected]
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> HEAD / HTTP/1.1
> Host: go-acme.github.io
> User-Agent: curl/7.64.1
> Accept: */*


➜ ~ traceroute go-acme.github.io
traceroute: Warning: go-acme.github.io has multiple addresses; using 185.199.111.153
traceroute to go-acme.github.io (185.199.111.153), 64 hops max, 52 byte packets
1 192.168.10.3 (192.168.10.3) 4.853 ms 5.880 ms 10.920 ms
2 58.32.0.1 (58.32.0.1) 7.142 ms 6.809 ms 4.067 ms
3 101.95.91.65 (101.95.91.65) 5.320 ms 5.360 ms
101.95.91.69 (101.95.91.69) 13.493 ms
4 101.95.88.49 (101.95.88.49) 7.511 ms
101.95.88.61 (101.95.88.61) 7.240 ms 6.595 ms
5 * 59.43.130.198 (59.43.130.198) 57.626 ms *
6 59.43.186.246 (59.43.186.246) 14.080 ms 28.236 ms
59.43.187.78 (59.43.187.78) 5.358 ms
7 59.43.248.238 (59.43.248.238) 30.597 ms 32.730 ms
59.43.189.82 (59.43.189.82) 34.298 ms
8 63.218.211.9 (63.218.211.9) 34.244 ms 37.515 ms 61.540 ms
9 63.218.174.217 (63.218.174.217) 34.487 ms 34.856 ms 33.423 ms
10 63.218.174.217 (63.218.174.217) 32.784 ms 40.958 ms 35.800 ms

@zhenjiachen # 159 我也是 CNAME 到 github.io ，然后 DNS 那个选项卡里，显示的 Proxy Status 是 Proxied，SSL/TLS 选项卡里，我的 mode 选择的是 full，其他地方暂时没想到，你试试

github page 用 Cloudflare 的貌似不受影响。

这应该是端口被劫持了吧？
https://s1.ax1x.com/2020/03/26/GpQHxK.png
https://s1.ax1x.com/2020/03/26/GpQT8x.png

西北电信没有出现任何问题
但是访问 GitHub 和 Pages 还是一如既往的慢，不挂代理想要打开页面需要加载三十秒甚至一分钟，太慢了

根据 qq 号下面 介绍的 138qb.cn 域名查到 →是广州名扬信息科技有限公司，这个公司貌似本身就是域名服务商？是他们员工搞得鬼？
https://imgchr.com/i/GpQqKO
https://imgchr.com/i/Gplaz6

@hshpy 我把两个解析删除了，还是不行……

@jhdsgfww 济南联通复现，济南移动好像也 8 行（双宽带）

@hshpy
192.30.252.154 ，
192.30.252.153 这两个解析有问题吗

怪不得刚刚打不开网页，河北联通复现

@razeen 这个 `traceroute` 不准的，因为 ICMP 并没有劫持。

@dndx 是的==

北京联通复现

北京联通，未复现，一切正常

金华电信复现

@codevvvv9 你换成上面那 4 个 IP 中的一个。

不说复不复现了。。我比较疑惑的是，这种事情后续应该谁来处理？

江苏电信，江苏移动，你们说的域名我这里都打不开，连接超时

用 TCP： mtr -z -b -T -P 443 z.github.io

My traceroute [v0.87]
home-pi (0.0.0.0) Thu Mar 26 17:50:51 2020
Keys: Help Display mode Restart statistics Order of fields quit
Packets Pings
Host Loss% Snt Last Avg Best Wrst StDev
1. AS??? XiaoQiang (172.16.88.254) 0.0% 245 2.0 1.5 0.9 42.4 3.7
2. AS??? 172.16.86.254 0.0% 245 1.3 1.7 1.0 61.9 5.2
………
AS4134 117.21.173.181
AS4134 117.21.173.185
6. AS4134 202.97.82.117 0.0% 244 17.2 23.7 15.2 66.1 7.3
AS4134 202.97.39.61
AS4134 202.97.82.121
AS4134 202.97.39.157
AS4134 202.97.82.125
AS4134 202.97.39.161
AS4134 202.97.39.209
AS4134 202.97.55.133
7. AS54113 185.199.110.153 40.7% 244 150.6 233.3 64.8 3254. 502.1
AS4134 202.97.49.34



用 ICMP，mtr -z -b -P 443 z.github.io：



My traceroute [v0.87]
home-pi (0.0.0.0) Thu Mar 26 17:58:46 2020
Resolver error: No error returned but no answers given. of fields quit
Packets Pings
Host Loss% Snt Last Avg Best Wrst StDev
1. AS??? XiaoQiang (172.16.88.254) 0.0% 174 0.7 1.0 0.6 37.3 2.7
2. AS??? 172.16.86.254 0.0% 174 0.9 0.9 0.8 22.3 1.6
……
6. AS4134 202.97.39.53 0.0% 173 27.7 29.1 24.7 68.1 8.6
7. AS4134 202.97.49.34 5.2% 173 53.3 52.7 49.7 82.9 4.4
8. AS4134 202.97.90.33 8.7% 173 51.9 51.8 49.7 54.2 0.9
9. AS2914 xe-1-0-4.r26.tokyjp05.jp.bb.gin.n 33.5% 173 231.5 223.1 202.1 324.7 14.8
10. AS2914 ae-1.r31.tokyjp05.jp.bb.gin.ntt.n 20.2% 173 216.0 228.2 209.8 238.9 5.5
11. AS2914 ae-3.r01.tokyjp08.jp.bb.gin.ntt.n 19.7% 173 230.3 279.2 216.9 3698. 338.5
12. AS2914 ae-1.fastly.tokyjp08.jp.bb.gin.nt 8.7% 173 300.7 317.0 277.0 2185. 171.0
13. AS54113 185.199.110.153 19.7% 173 211.3 259.5 198.2 4248. 376.9



这应该算是精准劫持了。

福建电信复现

有人扒信息出来了，qq 所有者叫张勇，黑龙江的

@strongwong 三大运营商全国范围内的故障哪个小公司员工能这么屌？

@hshpy 我加上 CF 套起来了，也把那些 ip 解析删除了，可还是被那个 qq 邮箱劫持到了，假证书……

@hshpy 我加上 CF 套起来了，也把那些 ip 解析删除了，可还是被那个 qq 邮箱劫持到了，假证书……
@hshpy 那四个不是有问题的吗，我换了更有问题啊

@codevvvv9 SSL/TLS 加密模式选择的是哪个？

@hshpy 我在 CF 官网查看速度那一项，报如下的错误：

我的网站 返回了状态 530 。请尝试以下选项来解决此问题。

1
查看您的源服务器与 Cloudflare 之间的配置，并确保源服务器成功解析请求

2
查看应用于您网站的任何现有防火墙规则，这些规则可能会阻止访问“已知自动程序”

3
请联系客户支持
@hooon

@hooon 我选择了完全啊

内蒙古 电信 复现

@codevvvv9 我一个站选择完全（严格）没问题。另外一个站选择完全（严格），提示 526 错误（证书都是腾讯云免费的），选择完全不开全局又打不开网站 :)

@hooon 我也选择的完全啊，但是宝 530 错误，现在还是被劫持着，没有用

@sholmesian 好像只有 443 端口劫持了，我试了 444 和 80 都没事走了一圈 ntt，只有 443 走到 as4808 （北京联通还不是骨干网）就停了

QQ 号主人我认识叫张勇溪畔家园小区的 我认识

@outtime 第一次遇见实名来干坏事的，住哪里叫什么成长轨迹都有，总感觉是个失误？

@JankinAnn 社工效率也太高了:-D

@JankinAnn 新中新公司的

北京联通复现，刷新了 DNS，走了代理就可以访问了

我这儿丢包率已经 80%以上了.
感觉不像是故意搞的,拿个这么破的服务器上线怎么感觉都不如直接封了强.
还是说在搞压力测试先试试水?

四川电信复现