这是一个创建于 3520 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 hging 2016-02-29 17:12:51 +08:00 为什么我这 118 个. |
 | 2 SplendentDraco 2016-02-29 17:16:51 +08:00 110 个 |
 | 3 b821025551b 2016-02-29 17:17:25 +08:00 120 个 |
 | 4 aveline 2016-02-29 17:18:41 +08:00 |
 | 5 c 2016-02-29 17:30:56 +08:00 149 211.98.71.120 铁通_北京市 2016-02-29 150 211.98.71.121 铁通_北京市 2016-02-29 151 211.98.71.122 铁通_北京市 2016-02-29 152 211.98.71.123 铁通_北京市 2016-02-29 153 211.98.71.124 铁通_北京市 2016-02-29 154 211.98.71.125 铁通_北京市 2016-02-29 155 211.98.71.126 铁通_北京市 2016-02-29 156 211.98.71.127 铁通_北京市 2016-02-29 |
 | 6 daocao 2016-02-29 17:58:37 +08:00 103 |
 | 7 DesignerSkyline 2016-02-29 18:00:26 +08:00 103 个 话说最后几个是铁通的,这是 anycast 吗? |
 | 8 blueset 2016-02-29 18:13:56 +08:00 |
 | 9 onion83 OP 抛砖引玉,其实大家还是试试 114.114.114.114 180.76.76.76 (百度) 119.29.29.29 (腾讯) 223.5.5.5 (阿里) 他们的节点分布状况. |
| 10 onion83 OP 另外 现在发现天津联通有部分线路确实被 anycast 优化过,[测试结果]( http://www.17ce.com/site/ping/201602_883b9f964f2d92a9e455410d835ae0cc.html) traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets 1 60.28.115.1 (60.28.115.1) 5.061 ms 5.829 ms 5.130 ms 2 no-data (125.39.79.93) 3.803 ms * * 3 dns105.online.tj.cn (117.8.160.105) 0.968 ms dns61.online.tj.cn (117.8.226.61) 4.131 ms dns85.online.tj.cn (117.8.160.85) 0.879 ms 4 61.181.148.138 (61.181.148.138) 1.141 ms dns85.online.tj.cn (117.8.156.85) 6.036 ms 1.142 ms 5 * * * 6 google-public-dns-a.google.com (8.8.8.8) 3.221 ms * * 所有版内有 v 友叫 ping 值逆天,这是正常事情。 问题来,这些国内的节点有没有没和谐过? |
 | 11 redsonic 2016-02-29 19:36:57 +08:00  1 @onion83 由于它是根据递归查询的 ip 地址来确定“真实地址”,所以如果 8888 被劫持了,结果中也包含劫持 DNS 服务器的真实地址。铁桶那些是什么来路你应该知道了。真正的 peer 4 楼已经贴了。 |
 | 12 est 2016-02-29 19:39:06 +08:00 42 个 |
 | 15 ssh 2016-02-29 22:08:56 +08:00 啊,能用“普通话”说明一下是什么意思,以及用途吗? |
 | 17 dzxx36gyy 2016-03-01 01:38:25 +08:00 @bclerdx 优化是戏称,说白了就是劫持,移动在这方面做的比较多,很多 dns 都会被移动劫持,表现为延迟异常低,查询都是被重定向到移动自己的服务器上的,所以返回的结果很有可能是被污染的。 |
 | 18 decken 2016-03-01 01:54:18 +08:00 via Android 114.114.114.114 没有电信的? |
| 20 onion83 OP 楼主非网络专业,纯粹个人见解。 ------------------------------------------- @bclerdx anycast 或者所谓的 BGP 简单来说就同一个 IP 对外提供服务,后面挂 n 个服务器。 如果简单做过运维的同学应该都知道有个叫虚拟 IP(VIP) 的概念,只不过 LVS 做的 VIP 一般只能用在同一局域网中,两台主机做主备,一台挂了另外一个,在交换机广播相同 mac ,进行接管 ( arp 欺骗同理?). 而做 anycast 一般都需要自己申请 AS ,在骨干网路由器之间路进行宣告,通过自动计算最短路径,进行就近访问。因为这种技术是无状态的,所以非常适合做类似 DNS 这种查完就走的业务。 @redsonic 我理解的“劫持”分几种: 1 、旁路:类似 GFW 这种,也是无状态的。在骨干路由分光,进行包检测。发现异常后利用网络就近优势,抢先发 RST 包(双向),让 client/server 端认为对方中断达到拦截目的。 2 、路由:这目前是我疑惑的,类似 8.8.8.8 极低延时这种,通过 CloudXNS 查出来有铁通的 IP ,众所周知,路由器上对应的真实 IP 是通过 anycast 进行宣告的,难道路由器管理员手动干预了宣告的结果,进行“加料"? 这样互联网太恐怖了,同样一个 IP 地址,杀人于无形,查都没法查。 有意思的是,通过 CloudXNS 的查出来的 114.114.114.114 背后的节点,同样包含 211.98.71.120-127 8 台服务器,难道 114 同样被”劫持"? 3 、应用层: 这个大家都很熟悉了,先用 DNS 污染,然后给加料页面。或者设备串联路由器,直接修改数据包。 ------------------------------------------- 我想再请教两个问题: 1 、请教 @CloudXNS 讲解下 "本地 DNS 探测分析"是怎么实现的 2 、请教网络专业的 v 友, anycast 的 IP 能不能人为在路由器上干扰。 |
 | 21 raysonx 2016-03-01 12:22:56 +08:00 @onion83 凭我的理解,运营商劫持 8.8.8.8 并没有使用你想象的那么复杂的方案。 1. 方式一,静态路由。设置一台机器,手动指定它的 IP 为 8.8.8.8 ,然后配置静态路由将访问 8.8.8.8 的流量路由到这台机器。他们并没有把这个虚假路由宣告出去,所以不会对其他运营商造成影响。 2. 方式二, DNAT 。 NAT 有两种方式,我们家庭中用于共享 IP 地址上网的方式是 SNAT ,还有另一种方式是 DNAT ,即在路由器上直接使用 DNAT 方式更改 IP 包的目的 IP 地址( 8.8.8.8 )为劫持机器的 IP ,待劫持机器返回处理结果后再将虚假报文的源地址改为 8.8.8.8 。 |
 | 22 esxivistawrt 2016-03-01 13:04:15 +08:00 最著名的任播地址是 192.88.99.1 和 2002:c058:6301::1 |
 | 25 bclerdx 2016-03-01 13:34:15 +08:00 @dzxx36gyy 我们这里的 ISP 也经常给我灌输,你有网络地址后网络 IP 么,给你优化试试,而当我问他为什么不能对全局 IP 线路即 0.0.0.0-255.255.255.255 之前抛出局域网的 C 类 IP 时,该 ISP 相关人士说不可能做到,说会涉及到很多部门,我有点想不通,为什么全局 IP 精准分流和优化就有那么难么? |
| 27 bclerdx 2016-03-01 13:42:21 +08:00 @onion83 虚拟 IP(VIP)是不是可以理解为一些网络运营商进行 PPPoE 拨号后,由 BRAS 下发分配的大家俗称的内网 IP ,而非真实的公网 IP , BRAS 下发分配的内网 IP 或者说虚拟 IP ( VIP )共同访问一个网关出口出去。。 |
 | 28 CloudXNS 2016-03-01 14:48:41 +08:00 @onion83 具体技术本萌宝宝不懂,只知道似乎是每天向 8.8.8.8 发某域名请求查询的信息,然后从 NS 服务器取得 8.8.8.8 的 RIP 信息。~ 大家觉得好用、喜欢就好。 |
| 30 onion83 OP |
| 31 redsonic 2016-03-01 17:47:40 +08:00 问题 1 “本地 DNS 探测分析"是怎么实现的“ ,以下是猜测,估计差不多: CloudXNS 的后端下发分布式查询请求(各地运营商),请求的域名为 CloudXNS 事先注册好并托管到自己的 NS 服务器上的。然后 CloudXNS 记录递归查询的源 ip ,该 ip 就是所谓的真实 ip 。原理和 dig @8.8.8.8 whoami.akamai.com 应该是一样的,只不过 CloudXNS 是多地查询,得到的源更全面。 问题 2 大规模的 anycast 应该都是基于 BGP 的,而 BGP 的安全问题非常堪忧,具体可以看 https://github.com/mininet/mininet/wiki/BGP-Path-Hijacking-Attack-Demo 之前 google 已经遭到类似攻击 BTW , 114 的那个网段是个特殊网段,好像是被国际组织承认了得 anycast 网段,用 whois -h v4-peer.whois.cymru.com 可以看到 114.114.112.0/21 属于多个 AS ,而 whois -h whois.apnic.net 114.114.114.114 则指明属于信封,说明 114 肯定不是劫持出来的。 |
| 32 redsonic 2016-03-01 17:59:52 +08:00 @onion83 再补充一下,其实目前劫持公共 DNS 的手段中根本用不着什么 anycast ,运营商在汇聚层有众多的串接设备(比如 DPI ),随便找一台装一个 dns 模块就行了,本来生成或修改 dns 应答的代码就非常简单。所以你经常看到有人投诉得到回应“劫持是因为被攻击,不是自己造成的“ 或 ”没有问题,本来就是这样的“, 这是因为串的东西太多了,自己搞不清楚,也不知道谁清楚。如果是动路由,运营商都是有记录的,就算没记录登到设备上去查也就都知道了,但你要让他登录 DPI 上面看看具体跑了什么代码 他肯定是不懂的。 |
| 36 dzxx36gyy 2016-03-01 18:57:01 +08:00 via Android @VmuTargh 这不是 gfw ……这只是部分跃点(中间路由)设置为不响应 ping(icmp 包),事实上一般认为某墙是类似于旁路设备的,在网络中不会出现实际地址…… |
| 38 bclerdx 2016-03-01 19:12:06 +08:00 @onion83 其实呢,北京宽带通、长城宽带之类鹏博士电信传媒集团的下属品牌宽带的这些是走 NAT 的, NAT 资源都有多条(一般是指 BRAS 绑定多个不同的该 ISP 的多个互联网出口),根据访问出口拥堵情况,自动动态路由选择,当返回电信 NAT ,那么外网 IP 就是电信的;当返回联通 NAT ,外网 IP 就是联通的。但绝对与家庭路由器 PPPoE 的 WAN 口拨号后的 IP 是不一致的。 |
 | 40 wdlth 2016-03-01 21:58:40 +08:00 1.2.4.8 的出口是阿里云? |
 | 46 firefox12 2016-03-05 10:46:52 +08:00 via iPad 这个技术是怎么查到的? 一个 IP 还能映射到其他 IP ? |
Select Language