Google 主动屏蔽了大陆 IP 访问？

家里的联通宽带：
$ traceroute www.google.com
traceroute to www.google.com (173.194.117.178), 30 hops max, 60 byte packets
1 192.168.1.1 (192.168.1.1) 3.237 ms 3.930 ms 3.835 ms
2 218.21.155.151 (218.21.155.151) 4.456 ms 4.032 ms 3.751 ms
3 60.31.252.249 (60.31.252.249) 4.143 ms 4.155 ms 4.204 ms
4 110.19.20.5 (110.19.20.5) 7.150 ms 7.314 ms 7.229 ms
5 219.158.17.17 (219.158.17.17) 94.452 ms 94.715 ms 94.734 ms
6 219.158.11.6 (219.158.11.6) 194.143 ms !H * *
然而我依然没有出墙

@tcdw
173.194.117.0/24 早被墙了，你试试 traceroute 216.58.199.0

某墙屏蔽是有方向的，通常是屏蔽进来的方向，所以你做路由跟踪通常可以到达目的的上一两个路由节点。

还能更逗一些？

@lhbc 那你怎么解释为什么移动走了电信出口可以访问，电信自己却不能？

:doge: 前一阵子 www.linode.com 还主动屏蔽中国电信呢，现在恢复了
感觉是错误的路由规则导致的问题，没今天就会恢复
216 年初才封完， Google 又做了 ip 调整了？

@aofall 新增了 193 197 199 212 等 IP 段
你的 traceroute 216.58.199.0 结果如何？

墙有修改 TTL 并且伪造服务器 ICMP 返回的能力。很早的特性了。

????????????????????????????????????????

@est 你的意思是那个 Google 节点是假的？
如果真是这样，移动经电信访问到的那个 216.58.199.0 也是假的
然而这个 IP 的 SSL 证书是可信的，所以没有伪造的问题，除非 Google 的 SSL 私钥泄露

@LGA1150 节点是真的啊，比如你在北京要给你发个快递，我可以让包裹跟踪一直显示到你们家楼下然后被门卫拒绝所以无法投递。实际我包裹早就中途被截获然后丢了。这个比喻是不是很形象。

请看贴吧 @ 提醒
腊鸡爪机传图不方便， hangouts 域名直接跳 AppStore 了

@LGA1150 还有个办法就是去 vps 伪造你的电信 ip 去 ping 谷歌这个 ip ，然后本机抓包看看有木有 ICMP 响应。如果有，那说明谷歌没封电信 ip 。

@LGA1150 铁通能访问这些 ip ，能 ping 通，不知什么鬼

@est 具体怎么操作？

@LGA1150 电信访问被某墙封了

@mmmkik 奇怪之处就是移动会经过电信正常访问，而电信自己却访问不了

电信解析到日本 106 表示一切正常

纯净 DNS)

@tcdw traceroute www.google.com 怎么知道出没出墙啊

后面就是 * * * 这种条目了， 那* * * 上面最后一个 ip ，我查了下显示 country 是 united state ；这表示出墙了嘛？

8 楼正解

为什么我觉得这里好多人喜欢把锅丢给墙呢
墙真是躺着也背锅啊
我这里到 Linode KDDI 的机子也会出现这种情况，一开始建立连接没事，没多久就连不上了，断在 KDDI 的某跳上，电信倒是没事。因为这个现在已经不用 Linode 了。

@aofall 这时候在 VPS 反向追踪你的 IP 呢？

没有 Linode 的 vps ……找人借了一下
去时绕电信而且被做了流量穿透（从 Nginx 日志看到的），回来时绕香港
[root@li407-233 ~]# traceroute 111.144.142.xxx
traceroute to 111.144.142.xxx (111.144.142.xxx), 30 hops max, 40 byte packets
1 106.187.33.2 (106.187.33.2) 0.872 ms 0.820 ms 0.863 ms
2 124.215.199.121 (124.215.199.121) 9.376 ms 9.375 ms 9.372 ms
3 otejbb205.int-gw.kddi.ne.jp (124.215.194.178) 1.455 ms otejbb205.int-gw.kddi.ne.jp (124.215.194.161) 1.629 ms 1.630 ms
4 ix-ote212.int-gw.kddi.ne.jp (106.187.3.46) 11.347 ms ix-ote212.int-gw.kddi.ne.jp (106.187.6.130) 11.279 ms 11.261 ms
5 ix-8-527.tcore2.TV2-Tokyo.as6453.net (116.0.90.65) 2.099 ms 2.178 ms 2.224 ms
6 if-2-2.tcore1.TV2-Tokyo.as6453.net (180.87.180.1) 50.556 ms 51.558 ms 51.441 ms
7 if-5-7.tcore1.HK2-Hong-Kong.as6453.net (180.87.112.189) 50.734 ms 51.058 ms if-3-2.tcore1.HK2-Hong-Kong.as6453.net (180.87.112.5) 52.154 ms
8 if-6-2.tcore2.HK2-Hong-Kong.as6453.net (180.87.112.38) 50.681 ms 50.650 ms 50.620 ms
9 if-2-2.thar1.HK2-Hong-Kong.as6453.net (116.0.82.62) 50.627 ms 52.421 ms 116.0.82.34 (116.0.82.34) 85.309 ms
10 61.237.123.253 (61.237.123.253) 83.654 ms 116.0.82.78 (116.0.82.78) 82.165 ms 116.0.82.34 (116.0.82.34) 84.174 ms
11 61.237.123.253 (61.237.123.253) 87.480 ms 61.237.127.30 (61.237.127.30) 94.231 ms 95.876 ms
12 61.237.126.102 (61.237.126.102) 112.638 ms 61.237.127.30 (61.237.127.30) 93.644 ms 93.801 ms
13 61.237.126.102 (61.237.126.102) 112.727 ms 112.374 ms 122.90.14.62 (122.90.14.62) 98.327 ms
14 122.90.14.62 (122.90.14.62) 98.879 ms 97.916 ms 97.876 ms
15 112.5.253.129 (112.5.253.129) 97.724 ms (211.138.159.34) 95.385 ms 112.5.255.177 (112.5.255.177) 95.808 ms
16 * * *
17 112.5.253.98 (112.5.253.98) 152.874 ms 154.859 ms 160.976 ms
然后就不响应包结束追踪了

主动屏蔽的范围又扩大了
连两个 Anycast ip 都一样