这是一个创建于 368 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近突然发现公司 ping google 会被解析为内网 ip
xxx@xxx ~ % ping google.com
PING google.com (10.xx.xx.xxx): 56 data bytes
64 bytes from 10.xx.xx.xxx: icmp_seq=0 ttl=56 time=54.002 ms
64 bytes from 10.xx.xx.xxx: icmp_seq=1 ttl=56 time=52.970 ms
64 bytes from 10.xx.xx.xxx: icmp_seq=2 ttl=56 time=52.414 ms
然后通过 dig 查看了一下,发现使用公司的内网 dns 会被解析到三个内网 ip ,如果使用公共 dns 就会解析到公网 ip 上,看了一下 google 的证书,和科学上网访问的证书是同一本( SHA-256 指纹判定),想问一下这个是怎么实现的呢?这不就是中间人攻击吗
补充,访问 CloudFront 加速的网站也会被解析到和 Google 相同的内网 ip 上,并且证书和公网访问一样
第 1 条附言 · 2024-01-20 18:29:57 +08:00
公司内网系统查过了,这些 ip 确实对应一些内网的机器,然后在这些机器的外网防火墙上也看到了 Google 这些网站的白名单,同时这些机器在香港部署。
reaceroute 也看了一下,Google 被公司解析的内网 ip 完全走内网,Google 的公网 ip 的路由走了香港的 ix ,路由不大一样。
结论:初步判定是 sni proxy ,具体细节周一问下公司的 sre
reaceroute 也看了一下,Google 被公司解析的内网 ip 完全走内网,Google 的公网 ip 的路由走了香港的 ix ,路由不大一样。
结论:初步判定是 sni proxy ,具体细节周一问下公司的 sre
第 2 条附言 · 2024-01-20 18:30:54 +08:00
更正 traceroute
 |
1
cjpjxjx 2024-01-19 20:02:41 +08:00 via iPhone
反向代理吧
|
 |
3
xfn 2024-01-19 20:04:57 +08:00
应该是虚拟 IP ,类似于 Surge 的做法
|
 |
6
seers 2024-01-19 20:07:54 +08:00 via iPhone
fakeip
|
 |
7
jemyzhang 2024-01-19 20:08:11 +08:00 via iPhone
类似 fakeip ?
|
 |
8
MeteorVIP 2024-01-19 20:09:17 +08:00 via iPhone
tun 模式吧
|
 |
9
onetown 2024-01-19 20:09:27 +08:00  4
sni proxy 吧
|
 |
10
kneo 2024-01-19 20:15:56 +08:00 via Android
证书对就行。IP 无所谓。
|
 |
11
SenLief 2024-01-19 20:19:06 +08:00 1
类似于 fakeip 吧
|
 |
12
shenyuzhi 2024-01-19 20:23:19 +08:00
三层转发了一下而已
https 是四层的 |
 |
13
yumusb 2024-01-19 20:30:55 +08:00
你们内网 time=54.002 ms 这走的什么隧道组的内网。。
|
 |
14
paranoiagu 2024-01-19 20:44:46 +08:00 via Android
不就是 fakeip 方式分流么
|
 |
18
beyondstars 2024-01-19 22:04:07 +08:00 4
请你复习一遍 OSI 网络参照模型,HTTP 协议位于应用层。
另外如果你愿意你甚至可以把任意一个域名(例如 example.com )解析为 127.0.0.1 ,然后通过 https://example.com 访问本机 443 端口提供的这个网站,只需要做一个 TCP 转发 (127.0.0.1:443 -> <remote-ip>:443)。类似的名称(功能):虚拟 IP ,端口转发,4 层反向代理,都可以做到这一点。你想想 Kubernetes Service 的 ClusterIP 是怎么实现的。 中间人攻击不存在,除非中间人能解密 HTTPS 流量,或者你信任了中间人签发的根证书。 |
|
19
beyondstars 2024-01-19 22:05:38 +08:00
例如通过 nginx 就可以配一个端口转发,把本机 443 端口转发到 任意一个网站的 的 IP 的 443 端口,配置也很简单: https://docs.nginx.com/nginx/admin-guide/load-balancer/tcp-udp-load-balancer/
|
 |
20
mytsing520 2024-01-19 22:07:46 +08:00
正向代理+隧道
|
|
21
beyondstars 2024-01-19 22:09:40 +08:00
https://www.haproxy.com/blog/layer-4-and-layer-7-proxy-mode 这篇文章介绍了七层反向代理和 四层反向代理的区别,七层反向代理的转发器需要解析 HTTP 报文,重新发送 HTTP 报文,所以才需要证书。
四层的不需要。就好像你家的路由器也在转发你访问任意网站的流量,但是它不需要证书。 |
 |
22
orzorzorzorz 2024-01-19 22:56:44 +08:00
@basncy 借楼一问。op 这是啥输入法,我乍一看回复以为是屏幕脏了,但复制出去才发现这字有东西。
|
 |
24
ZhiyuanLin 2024-01-19 23:05:40 +08:00
你用 haproxy 或者 iptables 自己的 VPS 搞个转发就知道了。
|
 |
25
cloverzrg2 2024-01-20 00:21:32 +08:00
公司帮你搭了个正向代理
|
 |
26
BeiChuanAlex 2024-01-20 00:38:09 +08:00
也许是专线
|
 |
27
notabigdirector 2024-01-20 09:20:59 +08:00
这些知识都是怎么学的,感觉好复杂,看博客都是一些看不懂的专业术语
|
 |
28
wuvvu 2024-01-20 10:47:06 +08:00 1
|
 |
29
JK2333 2024-01-20 13:30:32 +08:00
把你 cfw 的 tun 模式关了就行····
|
 |
30
tywtyw2002 2024-01-20 14:41:19 +08:00
我看怎么是 虚拟 ip 然后做路由呢,很可能连 SNI proxy 都不算,直接走得是 3 层路由过 VPN 了,然后出口在做 NAT ,简单方便。
是不是 SNI proxy 你要看 tcp 建立的时间,毕竟 SNI proxy 要先 tcp 连接了 读 SNI ,然后代理才会去请求源。 traceroute 下试试看。 |
 |
31
Rorysky 2024-01-20 15:30:56 +08:00
@notabigdirector 中国程序员网络知识 天下第一,都得改写 gfw
|
 |
32
louisxxx 2024-01-21 08:20:34 +08:00 via iPhone
端口转发
|
Select Language