CloudFlare IP 再次被 TCP 劫持

受影响 IP 为 104.28.28.149 ，正常打开应该是 Direct IP access not allowed，被劫持了会跳转到菠菜网站

症状同两个月前的
https://www.v2ex.com/t/572057
https://www.v2ex.com/t/572031

jousca

2019-08-04 20:55:28 +08:00

感觉这个方式就是典型的 BGP 劫持

CernetBoom

2019-08-04 21:02:27 +08:00

@jousca 哈？ BGP Hijack 你 ICMP 还能通？

jousca

2019-08-04 21:05:52 +08:00

@CernetBoom ICMP 包发出去和返回难道不遵循 BGP 路由？？

CernetBoom

2019-08-04 21:08:04 +08:00

@jousca 那你还说什么 BGP Hijack ？ ICMP 和 TCP 的路由都不一样，ICMP 的路由是正常的好吗？

所以 AS_PATH 呢？结果呢？

jousca

2019-08-04 21:11:11 +08:00

@CernetBoom 观察到了。TCP 异常，而且出问题的地方都在关键出口，看来我在 16 楼推测是对的，就是利用 GFW 设备的灰产。ICMP 反而正常。

jousca

2019-08-04 21:16:48 +08:00

确认了一遍。墙外正常，包括 HK 都正常，出问题都在墙内。

loukky

2019-08-04 21:25:48 +08:00

https://s2.ax1x.com/2019/08/04/e6YmBd.gif
跳转动态图

bibiisme

2019-08-04 21:51:28 +08:00

教育网下午还有劫持，刚刚测了下劫持没有了。出问题的地方是在出国前倒数第二跳，这个劫持的手也伸得太长了
https://s2.ax1x.com/2019/08/04/ecpyqA.png
https://s2.ax1x.com/2019/08/04/ecpcVI.png

Liqianyu

2019-08-05 00:00:57 +08:00

北京联通、北京移动、上海阿里云、杭州阿里云复现。

Liqianyu

2019-08-05 00:04:00 +08:00

跟上一条
通过 IPIP 可以判断大陆整体都有劫持。
发链接会触发 V2EX 验证手机号要求。

yexm0

2019-08-05 00:25:11 +08:00

@Liqianyu 去掉前面的 http 或者 https 就行

smileawei

2019-08-05 16:39:31 +08:00

查了几个。这些域名竟然还都是备案过的。估计域名也是盗取的

smileawei

2019-08-05 16:46:41 +08:00

这些域名都有 CNAME 到 nbgslb.com 这个域名是阿里云的全球负载均衡的域名。挺舍得投入呀。

smileawei

2019-08-05 16:51:22 +08:00

更正 37 楼的信息。
该域名来自于 Chipmunkeyzsd@gmail.com 注册。
地址为：广州市白云区均禾街均禾大道 67 号

Kowloon

2019-08-05 16:54:42 +08:00

天津联通：复现。
香港宽频：正常。

Peanut666

2019-08-05 18:53:06 +08:00

这么高级权限的劫持，该往哪个部门投诉？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/588848

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.