V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
a2213108
V2EX  ›  Google

对 Google 的证书嗅探

  •  
  •   a2213108 · 2016-06-25 16:32:09 +08:00 · 4896 次点击
    这是一个创建于 3109 天前的主题,其中的信息可能已经有所发展或是发生改变。
    似乎很早之前,某神秘组织就开始了对 Google ip 的证书嗅探,几乎刚刚扫出来的 ip 瞬间就被路由黑洞。
    那么问题来了,我注意到一些已经广为流传的 h.osts 文件所使用的 ip 已经很久没有更换,并且像这种流量很大的 ip ,应该很好发现,但是直到现在这个 ip 仍然可用。
    这根本解释不通。我注意了一下,这是个新加坡 GGC ,那么我妄加揣测一下,这会不会是某神秘组织的蜜罐,用来拦截用户数据?这样就恐怖了
    28 条回复    2016-09-16 04:37:14 +08:00
    New2016
        1
    New2016  
       2016-06-25 16:43:18 +08:00 via Android
    把 ip 放出来看看
    zsj950618
        2
    zsj950618  
       2016-06-25 16:45:33 +08:00
    第一,用 https 访问 Google ,如果你电脑没被植入什么可疑的根证书,那么可以认为你和 Google 之间的通信是可信的且第三方无法截获。这应该算 SSL 常识。。。

    第二, Google 大部分 ip 代反向解析。

    比如随便拿个 Google 的 ip 举例:
    216.58.197.14 ,怎么判断这个 ip 属于 Google 的呢?

    1. dig -x 216.58.197.14 得到反向解析结果, kix06s02-in-f14.1e100.net.
    2. 继续验证这个反向结果的正确性, dig kix06s02-in-f14.1e100.net. 得到 216.58.197.14
    3. 于是验证结束, 216.58.197.14 这个 ip 属于 Google 。

    PS : 1e100.net 是 Google 的域名, 1e100 也是 Google 名字的来源。
    zsj950618
        3
    zsj950618  
       2016-06-25 16:48:31 +08:00
    验证 ip 属于 Google 这一步中, dig kix06s02-in-f14.1e100.net 时请使用 dnssec ,即 dig kix06s02-in-f14.1e100.net +dnssec
    linescape
        4
    linescape  
       2016-06-25 16:50:39 +08:00 via Android
    某组织留几个 ip 给你们一条活路还不感恩戴德居然在这里怀疑人家
    yexm0
        5
    yexm0  
       2016-06-25 16:52:59 +08:00
    你说的是 220.255.2.153 这个?
    BFDZ
        6
    BFDZ  
       2016-06-25 16:57:37 +08:00 via Android
    @linescape 我认为是墙太垃圾了
    fengxing
        7
    fengxing  
       2016-06-25 16:58:19 +08:00
    先不说 GGC ,就算 AS15169 的官方 ip 段中,可以正常使用的 IP 就有上万个
    再说 GGC ,全球大约有 3K 左右的 /24 段,这其中也很很多没有被封锁
    并且因为和 google 的链接是 SSL ,现在没有任何组织可以拦截或者破解 SSL 数据的
    前一段时间确实有过大面积的 封锁,涉及到 as15169 和绝大部分的 GGC ,所以证明 GFW 是有能力全部封锁,但是现在并没有全部封锁,所以说你先前假设的扫出来 IP 就被黑洞是错误的,导致后面的一系列话全都是错误的
    fengxing
        8
    fengxing  
       2016-06-25 16:59:49 +08:00
    @BFDZ 并不是墙垃圾,而是不想把所有的口给全部封死,前一段墙证明自己有能力吧 google 的全部 IP 给干掉的
    jhaohai
        9
    jhaohai  
       2016-06-25 17:04:32 +08:00 via iPhone
    要封杀 Google 很简单, Google 有自己的 as 号,只要骨干路由不路由这个 as 就行了
    BSD
        10
    BSD  
       2016-06-25 17:11:20 +08:00
    墙真要封死 Google 其实很容易,因为 Google 分配到的 ip 段是公开的,直接全段封锁就搞定了,我也奇怪为嘛方叫兽不这么做。。。
    Andy1999
        11
    Andy1999  
       2016-06-25 17:14:52 +08:00
    @zsj950618 SNI Hello 可以使域名暴露
    a2213108
        12
    a2213108  
    OP
       2016-06-25 17:33:35 +08:00
    @fengxing 关键是我自己用 checkgoogleip 扫出来的 ip 很快就失效,最快的几分钟就被黑洞,我比较纳闷
    a2213108
        13
    a2213108  
    OP
       2016-06-25 17:34:45 +08:00
    @yexm0 就是这个
    a2213108
        14
    a2213108  
    OP
       2016-06-25 17:39:40 +08:00
    @fengxing 不过我的意思是 ggc 是部署在运营商的机房,难道就不能在服务器上做点手脚吗
    wdlth
        15
    wdlth  
       2016-06-25 19:05:29 +08:00
    @a2213108 目前国服网只是象征性的把*.google.com 证书的认证了,很多 video 、 orkut 证书的都没有太严格的封锁,无非只是为了使大部分网民不能随便上 Google 。有的 GGC 速度实在是太不理想了,用的人也不多,流量一大 GGC 自己都会封掉非本网的流量。
    像上面那个,电信走 Telia 绕美国,谁爱用就用吧,一段时间后就封,然后再开放另外一批……
    yexm0
        16
    yexm0  
       2016-06-25 19:22:52 +08:00 via Android
    @wdlth 三大里唯独就电信绕了。挺奇葩的
    zsj950618
        17
    zsj950618  
       2016-06-25 21:11:38 +08:00
    @Andy1999 仅限域名,连 path 都无法暴露。 so ?
    neilp
        18
    neilp  
       2016-06-25 21:37:23 +08:00
    sni 其实是万恶之源, 造成了 ssl 的不安全.
    neilp
        19
    neilp  
       2016-06-25 21:46:42 +08:00
    ssl 其实是端到端加密, 所以理论上可以抵抗中间环节的 窃听和截取. 即使是运营商或者机房也无可奈何.

    所以, 我每次 用谷歌 都要打开证书详情, 看看是由那个 CA 签的.
    kslr
        20
    kslr  
       2016-06-26 06:17:00 +08:00 via Android
    谢谢提醒,我们会尽快安排人手清查漏网之鱼。
    bclerdx
        21
    bclerdx  
       2016-06-26 14:38:21 +08:00
    @kslr 好无耻啊,应该清除内奸,否则 Google 无宁日。
    bclerdx
        22
    bclerdx  
       2016-06-26 14:38:57 +08:00
    @zsj950618 为什么要加上“+dnssec ”呢?
    kslr
        23
    kslr  
       2016-06-26 14:41:43 +08:00
    @bclerdx 可以保证数据没有被篡改
    GhostFlying
        24
    GhostFlying  
       2016-06-26 15:35:42 +08:00
    @neilp 然而没 SNI , cdn 开销太大,只会导致更多网站停留在 http ,以及 Chrome 会自动检查 Google 系的证书的吧,每次手动点开不烦么。。
    bookface
        25
    bookface  
       2016-06-28 07:37:08 +08:00
    @a2213108 你扫描的 IP 可能是 nslookup -q=TXT _netblocks.google.com 出来的官方服务器,这些 IP 基本上被 Goagent
    XX-NET 等玩完了。偶尔有可用 IP,但非常不稳定。现在做 hosts 的 IP 是 ISP 的稍微稳定些,话说 ISP 的 GGC 很难封完
    @neilp 截取 SNI 数据只能看到域名,而 Goagent 、 XX-NET 等对 SSL 不安全
    a2213108
        26
    a2213108  
    OP
       2016-06-28 07:48:56 +08:00 via Android
    @bookface 并不是,全部都是亚洲国家的 ggc ,而且这种封锁很奇怪,只要我与这个 ip 的 443 端口进行通讯,很快就会黑洞,但同一段的其他 ip 不受影响,显然是机器自动完成的
    txydhr
        27
    txydhr  
       2016-07-05 19:47:27 +08:00 via iPhone
    @a2213108 我在阿拉斯加旅游的时候发现一个当地的 ggc 自己用了几个月被 x 了
    ixufuyang
        28
    ixufuyang  
       2016-09-16 04:37:14 +08:00 via Android
    @BSD 墙外边假的东西太多,而且真真假假的需要自己分辨,有些连墙都不会翻的人他们也分辨不了真假的,严格来说那不是墙,那只是一个傻逼过滤器。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2269 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 16:02 · PVG 00:02 · LAX 08:02 · JFK 11:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.