V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
snowhs
V2EX  ›  DNS

[请教] 对 dig mail.google.com @112.124.47.27 得到的国内 ip 203.195.174.41 感到不解,望提供线索

  •  
  •   snowhs · 2015-04-06 01:00:35 +08:00 · 27397 次点击
    这是一个创建于 3522 天前的主题,其中的信息可能已经有所发展或是发生改变。
    ```
    ; <<>> DiG 9.8.3-P1 <<>> mail.google.com @112.124.47.27
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29988
    ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;mail.google.com. IN A

    ;; ANSWER SECTION:
    mail.google.com. 600 IN A 203.195.174.41

    ;; AUTHORITY SECTION:
    mail.google.com. 600 IN NS localhost.

    ;; Query time: 59 msec
    ;; SERVER: 112.124.47.27#53(112.124.47.27)
    ;; WHEN: Mon Apr 6 00:29:19 2015
    ;; MSG SIZE rcvd: 72
    ```

    查了一下, 得到
    http://www.ipcheck.cn/203.195.174.41
    这个ip所在的地址段属于腾讯。

    如果直接访问这个ip, Chrome会警告说这个网站的证书是给google.com的,和地址203.195.174.41不符,而证书本身,Chrome说 is valid.

    我没有足够的知识来理解这里发生了什么,腾讯从自己的ip反向代理了google的ip么?或者是个陷阱?

    有人能告诉我发生了什么吗?
    以及,能建议几个搜索关键词关于实现这个的技术么?

    然后不妨看看别的国内DNS的解析结果。
    ```
    ; <<>> DiG 9.8.3-P1 <<>> mail.google.com @114.114.114.114
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60812
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;mail.google.com. IN A

    ;; ANSWER SECTION:
    mail.google.com. 376948 IN CNAME googlemail.l.google.com.
    googlemail.l.google.com. 40 IN CNAME mail-china.l.google.com.
    mail-china.l.google.com. 41 IN A 173.194.72.83
    mail-china.l.google.com. 41 IN A 173.194.72.17
    mail-china.l.google.com. 41 IN A 173.194.72.18
    mail-china.l.google.com. 41 IN A 173.194.72.19

    ;; Query time: 73 msec
    ;; SERVER: 114.114.114.114#53(114.114.114.114)
    ;; WHEN: Mon Apr 6 00:30:47 2015
    ;; MSG SIZE rcvd: 149
    ```
    173.194.72.83 据 https://ipinfo.io/173.194.72.83 说在Mountain View, 有趣的地方在CNAME是mail-china.l.google.com, 也许Google退出中国之前,mail-china.l.google.com 曾经指向一台国内的服务器?

    作为参考,dnscrypt-proxy -> dnscrypt-wrapper -> 8.8.8.8 的结果是这样的
    ; <<>> DiG 9.8.3-P1 <<>> mail.google.com @127.0.0.1
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39017
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 512
    ;; QUESTION SECTION:
    ;mail.google.com. IN A

    ;; ANSWER SECTION:
    mail.google.com. 21599 IN CNAME googlemail.l.google.com.
    googlemail.l.google.com. 299 IN A 173.194.123.53
    googlemail.l.google.com. 299 IN A 173.194.123.54

    ;; Query time: 361 msec
    ;; SERVER: 127.0.0.1#53(127.0.0.1)
    ;; WHEN: Mon Apr 6 00:31:12 2015
    ;; MSG SIZE rcvd: 103

    还有更多的google有关的域名,从国内的DNS查询,会得到国内的ip:
    "www-google-analytics.l.google.com",
    "ssl.google-analytics.com",
    "clients1.google.com",
    "oauth.googleusercontent.com",
    "clients4.google.com",
    "googlehosted.l.googleusercontent.com",
    "code.google.com",
    "ssl-google-analytics.l.google.com",
    "ssl.gstatic.com",
    "mail.google.com",
    "clients2.google.com",
    "safebrowsing.cache.l.google.com",
    "www.gstatic.com",
    "accounts.google.com",
    "plus.google.com",
    "support.google.com",
    "play.google.com",
    "translate.google.com",
    "clients5.google.com",
    "csi.gstatic.com",
    "lh3.googleusercontent.com",
    "maps.googleapis.com",
    "fonts.googleapis.com",
    "p4-fjxzzhhbnbftk-wqtl63hegtnygzcr-if-v6exp3-v4.metric.gstatic.com",
    "googleadapis.l.google.com",
    "fonts.gstatic.com",
    "maps.gstatic.com",
    "clients3.google.com",
    "ajax.googleapis.com",
    "chrome.google.com",
    "www.googleapis.com",
    "gmail.com",
    "chatenabled.mail.google.com",
    "ci6.googleusercontent.com",
    "ci3.googleusercontent.com",
    "clients6.google.com",
    "mail-attachment.googleusercontent.com",
    "lh6.googleusercontent.com"

    其中 oauth.googleusercontent.com 有国内的ip让我睡意消退了一些。
    17 条回复    2015-04-07 12:26:17 +08:00
    ooxxcc
        1
    ooxxcc  
       2015-04-06 01:15:24 +08:00
    应该就是DNS污染随机到了一个国内IP上吧。。
    ooxxcc
        2
    ooxxcc  
       2015-04-06 01:18:04 +08:00   ❤️ 1
    仔细看了一下,应该是IP反查误差吧……既然证书合法,中间人没有私钥,怎么都没法截取你的数据
    aarwwefdds
        3
    aarwwefdds  
       2015-04-06 01:26:50 +08:00   ❤️ 2
    楼主的这个推导完全建立在错误的基础上的。

    谷歌得知112.124.47.27是属于:
    http://www.mwsl.org.cn/onedns/
    112.124.47.27是一台阿里云的机器

    他们可能在实验扶墙dns,方式是通过在服务器上直接返回权威IP。IP指向了一台腾讯云,腾讯云上可能做了SNIPROXY。

    所以只是他们自己的行为而已。至于安全性,SNIPROXY并不能解码通信内容,它只是根据访问的SNI头转发SSL链接而已。
    1423
        4
    1423  
       2015-04-06 03:28:45 +08:00
    这是 OneDNS 提供的 反向代理 的 IP,目的是翻墙
    snowhs
        5
    snowhs  
    OP
       2015-04-06 03:56:06 +08:00
    @1423 能问一下消息来源吗?
    xiaozhizhu1997
        6
    xiaozhizhu1997  
       2015-04-06 06:34:25 +08:00 via Android   ❤️ 1
    csi和fonts早被Google指向国内,203.208开头是Google在北京的IP。
    至于那个情况…可能是:你-国内跳板-国外反代-Google
    xieyudi1990
        7
    xieyudi1990  
       2015-04-06 06:41:46 +08:00
    入口是腾讯的IP, 出口是Vultr.

    应该是反代.
    1423
        8
    1423  
       2015-04-06 12:07:30 +08:00 via Android
    @snowhs 谷歌一下这个 IP ,第一条不就是么
    http://www.mwsl.org.cn/onedns/
    Oi0Ydz26h9NkGCIz
        9
    Oi0Ydz26h9NkGCIz  
       2015-04-06 15:21:27 +08:00
    112.124.47.27这是onedns的南方节点呀,你从www.onedns.net就能看到了。
    至于203.195.174.41试试就知道是干嘛的了
    snowhs
        10
    snowhs  
    OP
       2015-04-06 17:50:06 +08:00
    @1423 很抱歉我没有说清楚问题,让有的朋友误以为我在 `dig mail.google.com @112.124.47.27` 的时候都不知道自己在用 One DNS.
    我说"能问一下消息来源吗?"的时候,想表达的是关于"这是 OneDNS 提供的 反向代理 的 IP,目的是翻墙",我想知道多一些,还想知道消息来源。
    snowhs
        11
    snowhs  
    OP
       2015-04-06 17:50:49 +08:00
    @xieyudi1990 能请教一下是怎样查到 203.195.174.41 的出口在 Vultr 的吗?
    JayFang1993
        12
    JayFang1993  
       2015-04-06 19:55:42 +08:00 via iPhone
    楼上们聊的都不懂。。顺便问下能给个手机收gmail邮件推送的解决方案吗,未越狱iphone和android,不想一直开着vpn
    aarwwefdds
        13
    aarwwefdds  
       2015-04-06 20:07:00 +08:00
    @snowhs OneDNS没明说,不过做了点黑箱测试可以知道这是他们有意这么设置的。之前我说用sniproxy可以做到,后来进一步测试了下,203.195.174.41这台服务器仅提供了谷歌的服务转发,而谷歌的IP都有通用性,这样的话更简单的做法是直接用类似rinetd的软件转发某个谷歌IP的443端口到自己的443上。
    (其实他们真的可以用sniproxy,这样推特也可以用了)

    至于203.195.174.41这台服务器怎么访问谷歌就很简单,很多方式可以实现,最简单的就是VPN了。
    snowhs
        14
    snowhs  
    OP
       2015-04-06 22:16:26 +08:00
    @aarwwefdds 抱歉伸手,能指点一下这个黑箱测试怎么做吗?

    > OneDNS没明说,不过做了点黑箱测试可以知道这是他们有意这么设置的
    aarwwefdds
        15
    aarwwefdds  
       2015-04-06 22:51:10 +08:00   ❤️ 1
    @snowhs 对他们那个DNS请求推特 FB 返回的都是空结果,说明他们有意防污染。国内其他DNS包括自己递归都是一般的谷歌IP。国内互通基本上是无墙的,基本排除墙。
    203.195.174.41我几乎用任何谷歌域名请求都能返回正确的证书和页面,使用其他域名是谷歌的403页面。可以说明这个IP很可能只是转发了某个谷歌IP的443端口到自己的443端口上。这种转发很难MITM,很难知道双方通信内容,对墙这种已经掌控了出入口的东东来说毫无意义,那只能是OneDNS有意设置的一台反代了。
    xieyudi1990
        16
    xieyudi1990  
       2015-04-06 23:03:59 +08:00   ❤️ 1
    @snowhs 访问 https://203.195.174.41/, 忽略证书警告, 打开的是Google. 在这个打开的Google里搜索 "ip", Google就会显示这个连接客户端的IP, 然后在bgp.he.net里查询.

    刚刚访问了一次, 和昨天的出口IP不同, 这次是香港的.
    leavic
        17
    leavic  
       2015-04-07 12:26:17 +08:00
    就是反向代理+DNS劫持,如果不做这个劫持,你又访问不了国外IP,那他们怎么帮你翻墙。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   997 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:20 · PVG 05:20 · LAX 13:20 · JFK 16:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.