V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
牛客网
d1540076394
V2EX  ›  分享发现

Cloudflare 的一个节点疑似也被中间人

  •  1
     
  •   d1540076394 · 210 天前 · 2619 次点击
    这是一个创建于 210 天前的主题,其中的信息可能已经有所发展或是发生改变。

    RT,我刚在查找资料时进入了一个网站,结果提示连接不是私密连接。证书跟 GitHub pages 被劫持的证书一样。想到可能是受到 GitHub pages 被中间人的影响,这个网站可能用的是 GitHub pages 。 于是我就 nslookup 了一下,看看是不是 github 用的 fastly CDN. 看到 nslookup 结果我就傻了:

    服务器:  pdns.dnspod.cn
    Address:  119.29.29.29
    非权威应答:
    名称:    (被访问网站的域名)
    Addresses:  2606:4700:3035::681b:ae1d
              2606:4700:3037::681b:af1d
              104.27.175.29
              104.27.174.29
    

    104.27.175.29 不是 cloudflare 的节点吗? ipip 查询结果也显示“美国 CloudFlare 公司 CDN 节点” CF 也被劫持了? 我自己有个用 cf 的小站,我在 host 里指定 ip 为 104.27.175.29 ,也被劫持了。对 V2EX 进行同样操作,也被劫持。

    我的网络环境是山东电信;山东移动 4G 提示连接超时。大家可以试一试。

    12 条回复    2020-03-26 21:58:17 +08:00
    Cipool
        2
    Cipool   210 天前
    北京电信复现
    villivateur
        3
    villivateur   210 天前
    d1540076394
        4
    d1540076394   210 天前 via Android
    @villivateur V2EX 用的也是 cf 的 CDN
    justin2018
        5
    justin2018   210 天前
    curl -vvv https://v2ex.com 腾某云

    * SSL connection using TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    * Server certificate:
    * subject: CN=v2ex.com,O="CloudFlare, Inc.",L=San Francisco,ST=CA,C=US
    * start date: Jun 20 00:00:00 2019 GMT
    * expire date: Jun 19 12:00:00 2020 GMT
    * common name: v2ex.com
    * issuer: CN=CloudFlare Inc ECC CA-2,O="CloudFlare, Inc.",L=San Francisco,ST=CA,C=US
    0 0 0 0 0 0 0 0 --:--:-- 0:00:01 --:--:-- 0> GET / HTTP/1.1
    > User-Agent: curl/7.29.0
    > Host: v2ex.com
    > Accept: */*
    d1540076394
        6
    d1540076394   210 天前
    @justin2018 你的服务器改 host 了吗?直接访问 V2EX 是没问题的,改成那个特定的节点才会报错。刚才又试了一下,这一会我这里已经不能复现了,可能是暂时的,跟地区也有关,你可以再试试
    justin2018
        7
    justin2018   210 天前
    @d1540076394 原来如此 我看漏了 ~
    ZRS
        8
    ZRS   210 天前
    可能是所有路由经过那的 TLS 请求都被劫持了吧
    miaomiao888
        9
    miaomiao888   210 天前
    应该是蔷在测试新技术 ...
    有说京东也受影响的但那人页面的 IP 显示美国,说明可能 DNS 解析到国外,需要经过 GFW 的都可能被劫持
    chotow
        10
    chotow   210 天前
    dndx
        12
    dndx   210 天前   ❤️ 5
    这个太牛逼了:

    ```
    curl https://cloudflare.com/cdn-cgi/trace --resolve cloudflare.com:443:104.27.175.29 -vk
    * Server certificate:
    * subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; [email protected]
    * start date: Sep 26 09:33:13 2019 GMT
    * expire date: Sep 23 09:33:13 2029 GMT
    * issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; [email protected]
    * SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.

    ip=自己的 IP 地址

    CF 返回的 client IP 还是自己真实的 IP,所以劫持的人不仅控制了出国的路由,回国的也被控制了。这是三网全国出国骨干路由器都被控制了的节奏?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1049 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 21:08 · PVG 05:08 · LAX 14:08 · JFK 17:08
    ♥ Do have faith in what you're doing.