公司的 Google 是内网 ip

110 天前
 YLWIND

最近突然发现公司 ping google 会被解析为内网 ip

xxx@xxx ~ % ping google.com      
PING google.com (10.xx.xx.xxx): 56 data bytes
64 bytes from 10.xx.xx.xxx: icmp_seq=0 ttl=56 time=54.002 ms
64 bytes from 10.xx.xx.xxx: icmp_seq=1 ttl=56 time=52.970 ms
64 bytes from 10.xx.xx.xxx: icmp_seq=2 ttl=56 time=52.414 ms

然后通过 dig 查看了一下,发现使用公司的内网 dns 会被解析到三个内网 ip ,如果使用公共 dns 就会解析到公网 ip 上,看了一下 google 的证书,和科学上网访问的证书是同一本( SHA-256 指纹判定),想问一下这个是怎么实现的呢?这不就是中间人攻击吗

补充,访问 CloudFront 加速的网站也会被解析到和 Google 相同的内网 ip 上,并且证书和公网访问一样

5201 次点击
所在节点    程序员
32 条回复
cjpjxjx
110 天前
反向代理吧
YLWIND
110 天前
@cjpjxjx 反向代理也需要拿到 Google 的私钥啊,可是怎么可能给私钥呢
xfn
110 天前
应该是虚拟 IP ,类似于 Surge 的做法
bkmi
110 天前
@YLWIND sni 不需要
YLWIND
110 天前
@bkmi sni 不需要证书?那这么看很容易中间人攻击啊
seers
110 天前
fakeip
jemyzhang
110 天前
类似 fakeip ?
MeteorVIP
110 天前
tun 模式吧
onetown
110 天前
sni proxy 吧
kneo
110 天前
证书对就行。IP 无所谓。
SenLief
110 天前
类似于 fakeip 吧
shenyuzhi
110 天前
三层转发了一下而已
https 是四层的
yumusb
110 天前
你们内网 time=54.002 ms 这走的什么隧道组的内网。。
paranoiagu
110 天前
不就是 fakeip 方式分流么
basncy
110 天前
@onetown #9 所以哪҉里去҄找一份҄sni 列表? spotify 好像不҄支持
YLWIND
110 天前
@yumusb iplc
YLWIND
110 天前
@bkmi 大佬,确实是 sni proxy ,才疏学浅了,没明白 sni 是代表 sni proxy
beyondstars
110 天前
请你复习一遍 OSI 网络参照模型,HTTP 协议位于应用层。

另外如果你愿意你甚至可以把任意一个域名(例如 example.com )解析为 127.0.0.1 ,然后通过 https://example.com 访问本机 443 端口提供的这个网站,只需要做一个 TCP 转发 (127.0.0.1:443 -> <remote-ip>:443)。类似的名称(功能):虚拟 IP ,端口转发,4 层反向代理,都可以做到这一点。你想想 Kubernetes Service 的 ClusterIP 是怎么实现的。

中间人攻击不存在,除非中间人能解密 HTTPS 流量,或者你信任了中间人签发的根证书。
beyondstars
110 天前
例如通过 nginx 就可以配一个端口转发,把本机 443 端口转发到 任意一个网站的 的 IP 的 443 端口,配置也很简单: https://docs.nginx.com/nginx/admin-guide/load-balancer/tcp-udp-load-balancer/
mytsing520
110 天前
正向代理+隧道

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1010115

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX