V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hanru
V2EX  ›  分享发现

93.46.8.89 是个神奇的 IP

  •  1
     
  •   hanru · 2017-07-25 16:02:13 +08:00 · 14280 次点击
    这是一个创建于 2684 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天打开搬瓦工网站时偶然发现:

    Imgur

    然后稍微深究了一下……

    1. 这个 IP 属于 Fastweb,GeoIP 在意大利;
    2. 被某墙污染的域名经常指向这个 IP ;
    3. IP 无法 ping 通,但 80 和 443 端口是打开的(不排除有更多开放端口),尝试 tcping,有了新发现:
      $ tcping 93.46.8.89 80
      
      Probing 93.46.8.89:80/tcp - Port is open - time=8.071ms
      Probing 93.46.8.89:80/tcp - Port is open - time=2.295ms
      Probing 93.46.8.89:80/tcp - Port is open - time=2.233ms
      Probing 93.46.8.89:80/tcp - Port is open - time=2.473ms
      
      $ tcping 93.46.8.89 443
      
      Probing 93.46.8.89:443/tcp - Port is open - time=10.161ms
      Probing 93.46.8.89:443/tcp - Port is open - time=3.331ms
      Probing 93.46.8.89:443/tcp - Port is open - time=1.866ms
      Probing 93.46.8.89:443/tcp - Port is open - time=2.018ms
    

    印象中此类 IP 都是无法访问的,今天的这种状况感觉有些蹊跷。V2 高人多,请帮忙分析一下,谢谢。

    P.S. 本人南京电信。

    第 1 条附言  ·  2017-07-25 17:58:00 +08:00

    补充2点:

    1、可以确认SSL证书就是搬瓦工自己的证书,从93.46.8.89打开的搬瓦工网站是真实的。SSL证书指纹:

    SHA256 59:66:63:A9:01:DF:84:C8:90:CA:C3:55:78:9F:EE:E1:4C:20:D9:0D:42:89:AB:2B:BB:96:19:68:C8:3D:45:CC
    SHA1 AE:AB:B1:17:90:B6:A6:2D:23:16:28:B7:A5:57:A2:19:21:28:88:17
    

    2、似乎93.46.8.89的所有端口都是打开的。从延时上来看,这个IP的物理位置离我很近……

    $ tcping 93.46.8.89 1024
    
    Probing 93.46.8.89:1024/tcp - Port is open - time=5.641ms
    Probing 93.46.8.89:1024/tcp - Port is open - time=2.564ms
    Probing 93.46.8.89:1024/tcp - Port is open - time=2.504ms
    Probing 93.46.8.89:1024/tcp - Port is open - time=1.816ms
    
    $ tcping 93.46.8.89 65535
    
    Probing 93.46.8.89:65535/tcp - Port is open - time=10.000ms
    Probing 93.46.8.89:65535/tcp - Port is open - time=1.523ms
    Probing 93.46.8.89:65535/tcp - Port is open - time=1.877ms
    Probing 93.46.8.89:65535/tcp - Port is open - time=1.904ms
    
    第 2 条附言  ·  2017-07-26 16:33:36 +08:00
    问题已解决。先上一张图,这是我在本地修改 hosts 后的效果:

    ![Imgur]( )

    原因如多条回复所言,确实是 93.46.8.89 被加入了自动爬墙列表,在路由器端 SS 接手了这个 IP,效果就是“透明代理”或者说“ TCP 劫持”。

    我对于 SS 的工作原理理解有误。我原以为 SS 仅负责 TCP 连接,会使用本地的的域名解析结果。不是这样的,SS 会在远端做域名解析。因此,本地被污染的域名解析不会影响 SS 成功连接目标服务器。

    tcping 的低延时,其实是路由器的答复。
    30 条回复    2017-07-26 16:59:38 +08:00
    alect
        1
    alect  
       2017-07-25 16:27:50 +08:00
    你用代理了吧
    dzxx36gyy
        2
    dzxx36gyy  
       2017-07-25 16:39:57 +08:00
    这延迟咋看上去是被 tcp 劫持了……
    hanru
        3
    hanru  
    OP
       2017-07-25 16:43:28 +08:00
    @alect 确定没用代理。用代理的话域名就不会被污染了。
    wly19960911
        4
    wly19960911  
       2017-07-25 16:50:37 +08:00 via Android
    缓存?有时候某个网站访问过,但是有缓存的情况下,就算服务器关了也能访问,所以我会使用 ctrl + f5 采取无缓存方式进行访问
    hanru
        5
    hanru  
    OP
       2017-07-25 16:53:06 +08:00
    @dzxx36gyy SSL 证书正常,似乎和普通的 HTTP 劫持有所不同,目的是什么?
    hadoop
        6
    hadoop  
       2017-07-25 16:54:20 +08:00
    显示 ip 和地理位置的插件叫啥名
    jasontse
        7
    jasontse  
       2017-07-25 16:54:57 +08:00 via iPad   ❤️ 1
    你用透明代理了
    hanru
        8
    hanru  
    OP
       2017-07-25 16:55:34 +08:00   ❤️ 1
    alect
        9
    alect  
       2017-07-25 17:00:40 +08:00
    巴瓦工的这个官网域名是大部分地区被 gfw,然后小部分地区时间可以正常解析,看到的那个地址应该是缓存的地址。多刷几下就知道了。
    hanru
        10
    hanru  
    OP
       2017-07-25 17:08:42 +08:00
    @alect 本地多台机器,多个浏览器,普通浏览和隐私浏览,多次尝试( Ctrl+F5 ),可以确定不是缓存。就差登录了,但这种情况下不敢轻易登录。
    hanru
        11
    hanru  
    OP
       2017-07-25 17:11:20 +08:00
    @jasontse 本地的网络环境我还是清楚的,没有什么透明代理。除非电信那里新增了能穿透 SSL 的代理,但之前没听说过有这种东西。
    alect
        12
    alect  
       2017-07-25 17:16:24 +08:00
    @hanru 小部分地区时间可以正常解析,本机或者其他机器 ping 这个域名应该是可以正常访问,那个插件获取 ip 的方式可能不太一样。
    hanru
        13
    hanru  
    OP
       2017-07-25 17:22:49 +08:00
    @alect 我在 Wireshark 里抓包了,打开搬瓦工网站时连接的就是 93.46.8.89 这个 IP。
    wwwvvvvvvvvvv
        14
    wwwvvvvvvvvvv  
       2017-07-25 17:25:43 +08:00
    xvx
        15
    xvx  
       2017-07-25 17:32:56 +08:00 via Android
    @alect 不排除是运营商的问题,这边移动能上,电信不行。

    反正国内的网络都很奇幻的,各种神奇的现象都有。
    icreeper
        16
    icreeper  
       2017-07-25 18:05:19 +08:00
    我这边 ping 是 cloudflare 的 cdn
    cocochan
        17
    cocochan  
       2017-07-25 18:08:52 +08:00   ❤️ 1
    你路由器有劫持 TCP
    slrey
        18
    slrey  
       2017-07-25 18:28:45 +08:00 via iPhone
    tracert 了下 停在 202.97.24.150 了 是上海电信 ip 倒是离你很近
    hanru
        19
    hanru  
    OP
       2017-07-25 19:40:42 +08:00
    @cocochan 能否展开介绍一下,如何排查路由器劫持 TCP ?
    jacy
        20
    jacy  
       2017-07-25 20:01:25 +08:00
    我这帮瓦工同样是解析到这个 ip,但好像端口都无法 tcping

    Probing 93.46.8.89:443/tcp - No response - time=2012.754ms
    Probing 93.46.8.89:443/tcp - No response - time=2000.513ms
    Probing 93.46.8.89:443/tcp - No response - time=2001.345ms
    Probing 93.46.8.89:443/tcp - No response - time=2001.260ms

    Ping statistics for 93.46.8.89:443
    4 probes sent.
    0 successful, 4 failed.
    Was unable to connect, cannot provide trip statistics.
    miaomiao888
        21
    miaomiao888  
       2017-07-25 20:05:04 +08:00
    你或者上级路由有人把这个 IP 劫持指向某个 SNI 代理的 IP
    如果是这样那么可能就能用这个 IP 打开 BWG,并且证书也是对的
    pq
        22
    pq  
       2017-07-25 20:46:12 +08:00
    总之,天朝的网络很魔幻,无法以常理度之。。。
    hanru
        23
    hanru  
    OP
       2017-07-25 20:48:59 +08:00
    @jacy 正常应该就是这样的。
    hanru
        24
    hanru  
    OP
       2017-07-25 20:54:49 +08:00
    @miaomiao888 我觉得你的这个解释说得通。我本地的路由器应该没有劫持,那问题就是出在中国电信了。RTT 这么低,似乎劫持就在路由器的下一跳。

    不过还是无法理解为什么要这么做……
    cnnblike
        25
    cnnblike  
       2017-07-25 21:22:39 +08:00
    人在美国,访问的指纹也是‎ ae ab b1 17 90 b6 a6 2d 23 16 28 b7 a5 57 a2 19 21 28 88 17
    just1
        26
    just1  
       2017-07-25 21:39:02 +08:00 via Android   ❤️ 1
    也有可能是流量转发
    xratzh
        27
    xratzh  
       2017-07-25 22:00:11 +08:00 via iPhone
    这货是 g,fw 的一部分。我的自定义列表需要 config 这个 ip。
    hadoop
        28
    hadoop  
       2017-07-25 23:15:02 +08:00
    @hanru chrome 下的有吗?
    hanru
        29
    hanru  
    OP
       2017-07-26 09:10:24 +08:00 via Android
    @hadoop 我不知道 Chrome 下是否有类似插件,抱歉。
    warmcolor
        30
    warmcolor  
       2017-07-26 16:59:38 +08:00 via Android
    我这里
    ping 显示 104.20.6.63
    nslookup 显示 93.46.8.89 、243.185.187.39 、159.106.121.75 和 8.7.198.45
    浏览器显 IP 插件显示 104.20.7.63
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2726 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 04:13 · PVG 12:13 · LAX 20:13 · JFK 23:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.