[请教] 对 dig mail.google.com @112.124.47.27 得到的国内 ip 203.195.174.41 感到不解,望提供线索
snowhs 2015-04-06 01:00:35 +08:00 27742 次点击这是一个创建于 3843 天前的主题,其中的信息可能已经有所发展或是发生改变。
```
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @112.124.47.27
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29988
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;mail.google.com. IN A
;; ANSWER SECTION:
mail.google.com. 600 IN A 203.195.174.41
;; AUTHORITY SECTION:
mail.google.com. 600 IN NS localhost.
;; Query time: 59 msec
;; SERVER: 112.124.47.27#53(112.124.47.27)
;; WHEN: Mon Apr 6 00:29:19 2015
;; MSG SIZE rcvd: 72
```
查了一下, 得到
http://www.ipcheck.cn/203.195.174.41
这个ip所在的地址段属于腾讯。
如果直接访问这个ip, Chrome会警告说这个网站的证书是给google.com的,和地址203.195.174.41不符,而证书本身,Chrome说 is valid.
我没有足够的知识来理解这里发生了什么,腾讯从自己的ip反向代理了google的ip么?或者是个陷阱?
有人能告诉我发生了什么吗?
以及,能建议几个搜索关键词关于实现这个的技术么?
然后不妨看看别的国内DNS的解析结果。
```
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @114.114.114.114
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60812
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;mail.google.com. IN A
;; ANSWER SECTION:
mail.google.com. 376948 IN CNAME googlemail.l.google.com.
googlemail.l.google.com. 40 IN CNAME mail-china.l.google.com.
mail-china.l.google.com. 41 IN A 173.194.72.83
mail-china.l.google.com. 41 IN A 173.194.72.17
mail-china.l.google.com. 41 IN A 173.194.72.18
mail-china.l.google.com. 41 IN A 173.194.72.19
;; Query time: 73 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: Mon Apr 6 00:30:47 2015
;; MSG SIZE rcvd: 149
```
173.194.72.83 据 https://ipinfo.io/173.194.72.83 说在Mountain View, 有趣的地方在CNAME是mail-china.l.google.com, 也许Google退出中国之前,mail-china.l.google.com 曾经指向一台国内的服务器?
作为参考,dnscrypt-proxy -> dnscrypt-wrapper -> 8.8.8.8 的结果是这样的
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39017
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mail.google.com. IN A
;; ANSWER SECTION:
mail.google.com. 21599 IN CNAME googlemail.l.google.com.
googlemail.l.google.com. 299 IN A 173.194.123.53
googlemail.l.google.com. 299 IN A 173.194.123.54
;; Query time: 361 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Apr 6 00:31:12 2015
;; MSG SIZE rcvd: 103
还有更多的google有关的域名,从国内的DNS查询,会得到国内的ip:
"www-google-analytics.l.google.com",
"ssl.google-analytics.com",
"clients1.google.com",
"oauth.googleusercontent.com",
"clients4.google.com",
"googlehosted.l.googleusercontent.com",
"code.google.com",
"ssl-google-analytics.l.google.com",
"ssl.gstatic.com",
"mail.google.com",
"clients2.google.com",
"safebrowsing.cache.l.google.com",
"www.gstatic.com",
"accounts.google.com",
"plus.google.com",
"support.google.com",
"play.google.com",
"translate.google.com",
"clients5.google.com",
"csi.gstatic.com",
"lh3.googleusercontent.com",
"maps.googleapis.com",
"fonts.googleapis.com",
"p4-fjxzzhhbnbftk-wqtl63hegtnygzcr-if-v6exp3-v4.metric.gstatic.com",
"googleadapis.l.google.com",
"fonts.gstatic.com",
"maps.gstatic.com",
"clients3.google.com",
"ajax.googleapis.com",
"chrome.google.com",
"www.googleapis.com",
"gmail.com",
"chatenabled.mail.google.com",
"ci6.googleusercontent.com",
"ci3.googleusercontent.com",
"clients6.google.com",
"mail-attachment.googleusercontent.com",
"lh6.googleusercontent.com"
其中 oauth.googleusercontent.com 有国内的ip让我睡意消退了一些。
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @112.124.47.27
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29988
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;mail.google.com. IN A
;; ANSWER SECTION:
mail.google.com. 600 IN A 203.195.174.41
;; AUTHORITY SECTION:
mail.google.com. 600 IN NS localhost.
;; Query time: 59 msec
;; SERVER: 112.124.47.27#53(112.124.47.27)
;; WHEN: Mon Apr 6 00:29:19 2015
;; MSG SIZE rcvd: 72
```
查了一下, 得到
http://www.ipcheck.cn/203.195.174.41
这个ip所在的地址段属于腾讯。
如果直接访问这个ip, Chrome会警告说这个网站的证书是给google.com的,和地址203.195.174.41不符,而证书本身,Chrome说 is valid.
我没有足够的知识来理解这里发生了什么,腾讯从自己的ip反向代理了google的ip么?或者是个陷阱?
有人能告诉我发生了什么吗?
以及,能建议几个搜索关键词关于实现这个的技术么?
然后不妨看看别的国内DNS的解析结果。
```
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @114.114.114.114
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60812
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;mail.google.com. IN A
;; ANSWER SECTION:
mail.google.com. 376948 IN CNAME googlemail.l.google.com.
googlemail.l.google.com. 40 IN CNAME mail-china.l.google.com.
mail-china.l.google.com. 41 IN A 173.194.72.83
mail-china.l.google.com. 41 IN A 173.194.72.17
mail-china.l.google.com. 41 IN A 173.194.72.18
mail-china.l.google.com. 41 IN A 173.194.72.19
;; Query time: 73 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: Mon Apr 6 00:30:47 2015
;; MSG SIZE rcvd: 149
```
173.194.72.83 据 https://ipinfo.io/173.194.72.83 说在Mountain View, 有趣的地方在CNAME是mail-china.l.google.com, 也许Google退出中国之前,mail-china.l.google.com 曾经指向一台国内的服务器?
作为参考,dnscrypt-proxy -> dnscrypt-wrapper -> 8.8.8.8 的结果是这样的
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39017
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mail.google.com. IN A
;; ANSWER SECTION:
mail.google.com. 21599 IN CNAME googlemail.l.google.com.
googlemail.l.google.com. 299 IN A 173.194.123.53
googlemail.l.google.com. 299 IN A 173.194.123.54
;; Query time: 361 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Apr 6 00:31:12 2015
;; MSG SIZE rcvd: 103
还有更多的google有关的域名,从国内的DNS查询,会得到国内的ip:
"www-google-analytics.l.google.com",
"ssl.google-analytics.com",
"clients1.google.com",
"oauth.googleusercontent.com",
"clients4.google.com",
"googlehosted.l.googleusercontent.com",
"code.google.com",
"ssl-google-analytics.l.google.com",
"ssl.gstatic.com",
"mail.google.com",
"clients2.google.com",
"safebrowsing.cache.l.google.com",
"www.gstatic.com",
"accounts.google.com",
"plus.google.com",
"support.google.com",
"play.google.com",
"translate.google.com",
"clients5.google.com",
"csi.gstatic.com",
"lh3.googleusercontent.com",
"maps.googleapis.com",
"fonts.googleapis.com",
"p4-fjxzzhhbnbftk-wqtl63hegtnygzcr-if-v6exp3-v4.metric.gstatic.com",
"googleadapis.l.google.com",
"fonts.gstatic.com",
"maps.gstatic.com",
"clients3.google.com",
"ajax.googleapis.com",
"chrome.google.com",
"www.googleapis.com",
"gmail.com",
"chatenabled.mail.google.com",
"ci6.googleusercontent.com",
"ci3.googleusercontent.com",
"clients6.google.com",
"mail-attachment.googleusercontent.com",
"lh6.googleusercontent.com"
其中 oauth.googleusercontent.com 有国内的ip让我睡意消退了一些。
 | 1 47jm9ozp 2015-04-06 01:15:24 +08:00 应该就是DNS污染随机到了一个国内IP上吧。。 |
| 2 47jm9ozp 2015-04-06 01:18:04 +08:00  1 仔细看了一下,应该是IP反查误差吧……既然证书合法,中间人没有私钥,怎么都没法截取你的数据 |
 | 3 aarwwefdds 2015-04-06 01:26:50 +08:00 2 楼主的这个推导完全建立在错误的基础上的。 谷歌得知112.124.47.27是属于: http://www.mwsl.org.cn/onedns/ 112.124.47.27是一台阿里云的机器 他们可能在实验扶墙dns,方式是通过在服务器上直接返回权威IP。IP指向了一台腾讯云,腾讯云上可能做了SNIPROXY。 所以只是他们自己的行为而已。至于安全性,SNIPROXY并不能解码通信内容,它只是根据访问的SNI头转发SSL链接而已。 |
 | 4 slowman 2015-04-06 03:28:45 +08:00 这是 OneDNS 提供的 反向代理 的 IP,目的是翻墙 |
 | 6 xiaozhizhu1997 2015-04-06 06:34:25 +08:00 via Android 1 csi和fonts早被Google指向国内,203.208开头是Google在北京的IP。 至于那个情况…可能是:你-国内跳板-国外反代-Google |
 | 7 xieyudi1990 2015-04-06 06:41:46 +08:00 入口是腾讯的IP, 出口是Vultr. 应该是反代. |
| 8 slowman 2015-04-06 12:07:30 +08:00 via Android |
 | 9 Oi0Ydz26h9NkGCIz 2015-04-06 15:21:27 +08:00 112.124.47.27这是onedns的南方节点呀,你从www.onedns.net就能看到了。 至于203.195.174.41试试就知道是干嘛的了 |
 | 10 snowhs OP @1423 很抱歉我没有说清楚问题,让有的朋友误以为我在 `dig mail.google.com @112.124.47.27` 的时候都不知道自己在用 One DNS. 我说"能问一下消息来源吗?"的时候,想表达的是关于"这是 OneDNS 提供的 反向代理 的 IP,目的是翻墙",我想知道多一些,还想知道消息来源。 |
| 11 snowhs OP @xieyudi1990 能请教一下是怎样查到 203.195.174.41 的出口在 Vultr 的吗? |
 | 12 JayFang1993 2015-04-06 19:55:42 +08:00 via iPhone 楼上们聊的都不懂。。顺便问下能给个手机收gmail邮件推送的解决方案吗,未越狱iphone和android,不想一直开着vpn |
| 13 aarwwefdds 2015-04-06 20:07:00 +08:00 @snowhs OneDNS没明说,不过做了点黑箱测试可以知道这是他们有意这么设置的。之前我说用sniproxy可以做到,后来进一步测试了下,203.195.174.41这台服务器仅提供了谷歌的服务转发,而谷歌的IP都有通用性,这样的话更简单的做法是直接用类似rinetd的软件转发某个谷歌IP的443端口到自己的443上。 (其实他们真的可以用sniproxy,这样推特也可以用了) 至于203.195.174.41这台服务器怎么访问谷歌就很简单,很多方式可以实现,最简单的就是VPN了。 |
| 14 snowhs OP |
| 15 aarwwefdds 2015-04-06 22:51:10 +08:00 1 @snowhs 对他们那个DNS请求推特 FB 返回的都是空结果,说明他们有意防污染。国内其他DNS包括自己递归都是一般的谷歌IP。国内互通基本上是无墙的,基本排除墙。 203.195.174.41我几乎用任何谷歌域名请求都能返回正确的证书和页面,使用其他域名是谷歌的403页面。可以说明这个IP很可能只是转发了某个谷歌IP的443端口到自己的443端口上。这种转发很难MITM,很难知道双方通信内容,对墙这种已经掌控了出入口的东东来说毫无意义,那只能是OneDNS有意设置的一台反代了。 |
| 16 xieyudi1990 2015-04-06 23:03:59 +08:00 1 @snowhs 访问 https://203.195.174.41/, 忽略证书警告, 打开的是Google. 在这个打开的Google里搜索 "ip", Google就会显示这个连接客户端的IP, 然后在bgp.he.net里查询. 刚刚访问了一次, 和昨天的出口IP不同, 这次是香港的. |
 | 17 leavic 2015-04-07 12:26:17 +08:00 就是反向代理+DNS劫持,如果不做这个劫持,你又访问不了国外IP,那他们怎么帮你翻墙。 |
Select Language