93.46.8.89 是个神奇的 IP

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2684 天前的主题，其中的信息可能已经有所发展或是发生改变。

今天打开搬瓦工网站时偶然发现：

Imgur

然后稍微深究了一下……

这个 IP 属于 Fastweb，GeoIP 在意大利；
被某墙污染的域名经常指向这个 IP ；
IP 无法 ping 通，但 80 和 443 端口是打开的（不排除有更多开放端口），尝试 tcping，有了新发现：

  $ tcping 93.46.8.89 80
  
  Probing 93.46.8.89:80/tcp - Port is open - time=8.071ms
  Probing 93.46.8.89:80/tcp - Port is open - time=2.295ms
  Probing 93.46.8.89:80/tcp - Port is open - time=2.233ms
  Probing 93.46.8.89:80/tcp - Port is open - time=2.473ms
  
  $ tcping 93.46.8.89 443
  
  Probing 93.46.8.89:443/tcp - Port is open - time=10.161ms
  Probing 93.46.8.89:443/tcp - Port is open - time=3.331ms
  Probing 93.46.8.89:443/tcp - Port is open - time=1.866ms
  Probing 93.46.8.89:443/tcp - Port is open - time=2.018ms

印象中此类 IP 都是无法访问的，今天的这种状况感觉有些蹊跷。V2 高人多，请帮忙分析一下，谢谢。

P.S. 本人南京电信。

第 1 条附言 · 2017-07-25 17:58:00 +08:00

补充2点：

1、可以确认SSL证书就是搬瓦工自己的证书，从93.46.8.89打开的搬瓦工网站是真实的。SSL证书指纹：

SHA256 59:66:63:A9:01:DF:84:C8:90:CA:C3:55:78:9F:EE:E1:4C:20:D9:0D:42:89:AB:2B:BB:96:19:68:C8:3D:45:CC
SHA1 AE:AB:B1:17:90:B6:A6:2D:23:16:28:B7:A5:57:A2:19:21:28:88:17

2、似乎93.46.8.89的所有端口都是打开的。从延时上来看，这个IP的物理位置离我很近……

$ tcping 93.46.8.89 1024

Probing 93.46.8.89:1024/tcp - Port is open - time=5.641ms
Probing 93.46.8.89:1024/tcp - Port is open - time=2.564ms
Probing 93.46.8.89:1024/tcp - Port is open - time=2.504ms
Probing 93.46.8.89:1024/tcp - Port is open - time=1.816ms

$ tcping 93.46.8.89 65535

Probing 93.46.8.89:65535/tcp - Port is open - time=10.000ms
Probing 93.46.8.89:65535/tcp - Port is open - time=1.523ms
Probing 93.46.8.89:65535/tcp - Port is open - time=1.877ms
Probing 93.46.8.89:65535/tcp - Port is open - time=1.904ms

第 2 条附言 · 2017-07-26 16:33:36 +08:00

问题已解决。先上一张图，这是我在本地修改 hosts 后的效果：

![Imgur](

)

原因如多条回复所言，确实是 93.46.8.89 被加入了自动爬墙列表，在路由器端 SS 接手了这个 IP，效果就是“透明代理”或者说“ TCP 劫持”。

我对于 SS 的工作原理理解有误。我原以为 SS 仅负责 TCP 连接，会使用本地的的域名解析结果。不是这样的，SS 会在远端做域名解析。因此，本地被污染的域名解析不会影响 SS 成功连接目标服务器。

tcping 的低延时，其实是路由器的答复。

30 条回复 • 2017-07-26 16:59:38 +08:00

alect

2017-07-25 16:27:50 +08:00

你用代理了吧

dzxx36gyy

2017-07-25 16:39:57 +08:00

这延迟咋看上去是被 tcp 劫持了……

hanru

2017-07-25 16:43:28 +08:00

@alect 确定没用代理。用代理的话域名就不会被污染了。

wly19960911

2017-07-25 16:50:37 +08:00 via Android

缓存？有时候某个网站访问过，但是有缓存的情况下，就算服务器关了也能访问，所以我会使用 ctrl + f5 采取无缓存方式进行访问

hanru

2017-07-25 16:53:06 +08:00

@dzxx36gyy SSL 证书正常，似乎和普通的 HTTP 劫持有所不同，目的是什么？

hadoop

2017-07-25 16:54:20 +08:00

显示 ip 和地理位置的插件叫啥名

jasontse

2017-07-25 16:54:57 +08:00 via iPad

你用透明代理了

hanru

2017-07-25 16:55:34 +08:00

@hadoop FlagFox: https://addons.mozilla.org/en-US/firefox/addon/flagfox/

alect

2017-07-25 17:00:40 +08:00

巴瓦工的这个官网域名是大部分地区被 gfw，然后小部分地区时间可以正常解析，看到的那个地址应该是缓存的地址。多刷几下就知道了。

hanru

2017-07-25 17:08:42 +08:00

@alect 本地多台机器，多个浏览器，普通浏览和隐私浏览，多次尝试（ Ctrl+F5 ），可以确定不是缓存。就差登录了，但这种情况下不敢轻易登录。

hanru

2017-07-25 17:11:20 +08:00

@jasontse 本地的网络环境我还是清楚的，没有什么透明代理。除非电信那里新增了能穿透 SSL 的代理，但之前没听说过有这种东西。

alect

2017-07-25 17:16:24 +08:00

@hanru 小部分地区时间可以正常解析,本机或者其他机器 ping 这个域名应该是可以正常访问，那个插件获取 ip 的方式可能不太一样。

hanru

2017-07-25 17:22:49 +08:00

@alect 我在 Wireshark 里抓包了，打开搬瓦工网站时连接的就是 93.46.8.89 这个 IP。

wwwvvvvvvvvvv

2017-07-25 17:25:43 +08:00

xvx

2017-07-25 17:32:56 +08:00 via Android

@alect 不排除是运营商的问题，这边移动能上，电信不行。

反正国内的网络都很奇幻的，各种神奇的现象都有。

icreeper

2017-07-25 18:05:19 +08:00

我这边 ping 是 cloudflare 的 cdn

cocochan

2017-07-25 18:08:52 +08:00

你路由器有劫持 TCP

slrey

2017-07-25 18:28:45 +08:00 via iPhone

tracert 了下停在 202.97.24.150 了是上海电信 ip 倒是离你很近

hanru

2017-07-25 19:40:42 +08:00

@cocochan 能否展开介绍一下，如何排查路由器劫持 TCP ？

jacy

2017-07-25 20:01:25 +08:00

我这帮瓦工同样是解析到这个 ip，但好像端口都无法 tcping

Probing 93.46.8.89:443/tcp - No response - time=2012.754ms
Probing 93.46.8.89:443/tcp - No response - time=2000.513ms
Probing 93.46.8.89:443/tcp - No response - time=2001.345ms
Probing 93.46.8.89:443/tcp - No response - time=2001.260ms

Ping statistics for 93.46.8.89:443
4 probes sent.
0 successful, 4 failed.
Was unable to connect, cannot provide trip statistics.