93.46.8.89 是个神奇的 IP

This topic created in 3233 days ago, the information mentioned may be changed or developed.

今天打开搬瓦工网站时偶然发现：

Imgur

然后稍微深究了一下……

这个 IP 属于 Fastweb，GeoIP 在意大利；
被某墙污染的域名经常指向这个 IP ；
IP 无法 ping 通，但 80 和 443 端口是打开的（不排除有更多开放端口），尝试 tcping，有了新发现：

  $ tcping 93.46.8.89 80
  
  Probing 93.46.8.89:80/tcp - Port is open - time=8.071ms
  Probing 93.46.8.89:80/tcp - Port is open - time=2.295ms
  Probing 93.46.8.89:80/tcp - Port is open - time=2.233ms
  Probing 93.46.8.89:80/tcp - Port is open - time=2.473ms
  
  $ tcping 93.46.8.89 443
  
  Probing 93.46.8.89:443/tcp - Port is open - time=10.161ms
  Probing 93.46.8.89:443/tcp - Port is open - time=3.331ms
  Probing 93.46.8.89:443/tcp - Port is open - time=1.866ms
  Probing 93.46.8.89:443/tcp - Port is open - time=2.018ms

印象中此类 IP 都是无法访问的，今天的这种状况感觉有些蹊跷。V2 高人多，请帮忙分析一下，谢谢。

P.S. 本人南京电信。

Supplement 1 · Jul 25, 2017

补充2点：

1、可以确认SSL证书就是搬瓦工自己的证书，从93.46.8.89打开的搬瓦工网站是真实的。SSL证书指纹：

SHA256 59:66:63:A9:01:DF:84:C8:90:CA:C3:55:78:9F:EE:E1:4C:20:D9:0D:42:89:AB:2B:BB:96:19:68:C8:3D:45:CC
SHA1 AE:AB:B1:17:90:B6:A6:2D:23:16:28:B7:A5:57:A2:19:21:28:88:17

2、似乎93.46.8.89的所有端口都是打开的。从延时上来看，这个IP的物理位置离我很近……

$ tcping 93.46.8.89 1024

Probing 93.46.8.89:1024/tcp - Port is open - time=5.641ms
Probing 93.46.8.89:1024/tcp - Port is open - time=2.564ms
Probing 93.46.8.89:1024/tcp - Port is open - time=2.504ms
Probing 93.46.8.89:1024/tcp - Port is open - time=1.816ms

$ tcping 93.46.8.89 65535

Probing 93.46.8.89:65535/tcp - Port is open - time=10.000ms
Probing 93.46.8.89:65535/tcp - Port is open - time=1.523ms
Probing 93.46.8.89:65535/tcp - Port is open - time=1.877ms
Probing 93.46.8.89:65535/tcp - Port is open - time=1.904ms

Supplement 2 · Jul 26, 2017

问题已解决。先上一张图，这是我在本地修改 hosts 后的效果：

![Imgur](

)

原因如多条回复所言，确实是 93.46.8.89 被加入了自动爬墙列表，在路由器端 SS 接手了这个 IP，效果就是“透明代理”或者说“ TCP 劫持”。

我对于 SS 的工作原理理解有误。我原以为 SS 仅负责 TCP 连接，会使用本地的的域名解析结果。不是这样的，SS 会在远端做域名解析。因此，本地被污染的域名解析不会影响 SS 成功连接目标服务器。

tcping 的低延时，其实是路由器的答复。

30 replies • 2017-07-26 16:59:38 +08:00

alect

Jul 25, 2017

你用代理了吧

dzxx36gyy

Jul 25, 2017

这延迟咋看上去是被 tcp 劫持了……

hanru

Jul 25, 2017

@alect 确定没用代理。用代理的话域名就不会被污染了。

wly19960911

Jul 25, 2017 via Android

缓存？有时候某个网站访问过，但是有缓存的情况下，就算服务器关了也能访问，所以我会使用 ctrl + f5 采取无缓存方式进行访问

hanru

Jul 25, 2017

@dzxx36gyy SSL 证书正常，似乎和普通的 HTTP 劫持有所不同，目的是什么？

hadoop

Jul 25, 2017

显示 ip 和地理位置的插件叫啥名

jasontse

Jul 25, 2017 via iPad

你用透明代理了

hanru

Jul 25, 2017

@hadoop FlagFox: https://addons.mozilla.org/en-US/firefox/addon/flagfox/

alect

Jul 25, 2017

巴瓦工的这个官网域名是大部分地区被 gfw，然后小部分地区时间可以正常解析，看到的那个地址应该是缓存的地址。多刷几下就知道了。

hanru

Jul 25, 2017

@alect 本地多台机器，多个浏览器，普通浏览和隐私浏览，多次尝试（ Ctrl+F5 ），可以确定不是缓存。就差登录了，但这种情况下不敢轻易登录。

hanru

Jul 25, 2017

@jasontse 本地的网络环境我还是清楚的，没有什么透明代理。除非电信那里新增了能穿透 SSL 的代理，但之前没听说过有这种东西。

alect

Jul 25, 2017

@hanru 小部分地区时间可以正常解析,本机或者其他机器 ping 这个域名应该是可以正常访问，那个插件获取 ip 的方式可能不太一样。

hanru

Jul 25, 2017

@alect 我在 Wireshark 里抓包了，打开搬瓦工网站时连接的就是 93.46.8.89 这个 IP。

wwwvvvvvvvvvv

Jul 25, 2017

xvx

Jul 25, 2017 via Android

@alect 不排除是运营商的问题，这边移动能上，电信不行。

反正国内的网络都很奇幻的，各种神奇的现象都有。

icreeper

Jul 25, 2017

我这边 ping 是 cloudflare 的 cdn

cocochan

Jul 25, 2017

你路由器有劫持 TCP

virtualworld

Jul 25, 2017 via iPhone

tracert 了下停在 202.97.24.150 了是上海电信 ip 倒是离你很近

hanru

Jul 25, 2017

@cocochan 能否展开介绍一下，如何排查路由器劫持 TCP ？

jacy

Jul 25, 2017

我这帮瓦工同样是解析到这个 ip，但好像端口都无法 tcping

Probing 93.46.8.89:443/tcp - No response - time=2012.754ms
Probing 93.46.8.89:443/tcp - No response - time=2000.513ms
Probing 93.46.8.89:443/tcp - No response - time=2001.345ms
Probing 93.46.8.89:443/tcp - No response - time=2001.260ms

Ping statistics for 93.46.8.89:443
4 probes sent.
0 successful, 4 failed.
Was unable to connect, cannot provide trip statistics.