V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gaoxt1983
V2EX  ›  宽带症候群

北京联通开始 DNS 劫持了……

  •  
  •   gaoxt1983 · 2016-01-17 08:49:12 +08:00 · 12252 次点击
    这是一个创建于 3262 天前的主题,其中的信息可能已经有所发展或是发生改变。
    直接修改了 apple 和 steam CDN 的 URL ,是随机的,比如: http://images.apple.com/c3pr90ntcsf0/itunes/home/images/music_logo_large.png 改为 http://120.52.72.76/images.apple.com/c3pr90ntcsf0/itunes/home/images/music_logo_large.png ,而且会返回 403 错误啊!不知道投诉是否有效
    54 条回复    2016-06-12 18:01:45 +08:00
    int64ago
        1
    int64ago  
       2016-01-17 09:05:45 +08:00
    一直都这样啊,打 10010 ,然后就解决了
    gaoxt1983
        2
    gaoxt1983  
    OP
       2016-01-17 09:09:29 +08:00
    解决不了,对方听不懂……
    pH
        3
    pH  
       2016-01-17 09:37:44 +08:00
    @int64ago 这个不是针对单个用户的吧。打了客服,难不成把你的拉入白名单?
    mudkip
        4
    mudkip  
       2016-01-17 09:47:17 +08:00
    关注,我也遇到了这个问题。
    而且我自己网站的 *.png/*.jpg 也被劫持了…

    不过应该不是 DNS 劫持,而是 HTTP 层做了 302 跳转, HTTPS 没有影响。
    gaoxt1983
        5
    gaoxt1983  
    OP
       2016-01-17 09:51:56 +08:00
    @mudkip itunes 用的 http ……
    int64ago
        6
    int64ago  
       2016-01-17 10:30:58 +08:00
    @pH 是的,打电话就会把你拉入白名单
    shawshank
        7
    shawshank  
       2016-01-17 10:34:42 +08:00
    http 劫持恶心多了,一个 302 让你无可奈何。打电话用工信部吓吓他,就有懂的人来接你电话了,你再凶点,说不定主动给你打电话。
    msxcms
        8
    msxcms  
       2016-01-17 11:47:41 +08:00
    @gaoxt1983 然而你贴的是 http
    gaoxt1983
        9
    gaoxt1983  
    OP
       2016-01-17 11:48:14 +08:00
    刚才试了一下,连豆瓣的 CDN 都被劫持了,换了 google DNS 才好的,然则 google dns 慢的一比
    gaoxt1983
        10
    gaoxt1983  
    OP
       2016-01-17 11:48:46 +08:00
    popu111
        11
    popu111  
       2016-01-17 12:01:55 +08:00 via Android
    我自己的网站也被劫持了,一开始还以为百度云减速的锅,吓得我抓紧换疼讯了,结果并没有卵用。。。
    Andy1999
        12
    Andy1999  
       2016-01-17 12:03:07 +08:00 via iPhone
    https 大法好
    gaoxt1983
        13
    gaoxt1983  
    OP
       2016-01-17 12:06:37 +08:00
    问题是 itunes 里面没发 https
    raysonx
        14
    raysonx  
       2016-01-17 12:29:26 +08:00 via Android
    帝都聯通居然有 HTTP 劫持。。
    兩大運營商的劫持真是第一次見,投訴走起
    saymoon
        15
    saymoon  
       2016-01-17 12:53:06 +08:00
    帝都联通已投诉

    gaoxt1983
        16
    gaoxt1983  
    OP
       2016-01-17 13:02:10 +08:00
    @saymoon 怎么投诉的,我投诉 10010 根本不管用,他们听不懂,现在已经投诉工信部了
    shakespark
        17
    shakespark  
       2016-01-17 13:06:29 +08:00
    打开手机的 appstore ,用 surge 查看最近的 request ,确实发现一堆的 120.52.72.x 的请求
    shakespark
        18
    shakespark  
       2016-01-17 13:16:56 +08:00
    看 302 里有个 powered-by-chinacache ,这个就是蓝汛的 cdn , apple 国内的合作商,这是不是苹果自己做的 302 ,与联通无关?
    ztrt
        19
    ztrt  
       2016-01-17 13:40:42 +08:00
    @shakespark 绝壁是联通搞的鬼,把 120.52.72.*加入黑名单后很多网站图片全失效不显示了
    shakespark
        20
    shakespark  
       2016-01-17 13:51:36 +08:00   ❤️ 1
    @ztrt
    1.楼主提供的链接 http://images.apple.com/c3pr90ntcsf0/itunes/home/images/music_logo_large.png 我使用日本的 vps wget 返回同样是 404 ,说明打不开这个图片不是联通的问题

    2.我使用 surge 查看 request 一个链接 http://a4.mzstatic.com/us/r30/Purple69/v4/5b/42/12/5b4212b5-43e8-795f-905f-b94d8f6e0566/icon192x192.png ,这个链接在我北京联通 ip 访问么,确实被 302 到了 http://120.52.72.79/a4.mzstatic.com/c3pr90ntcsf0/us/r30/Purple69/v4/5b/42/12/5b4212b5-43e8-795f-905f-b94d8f6e0566/icon192x192.png ,但是这个图片是可以打开的

    同一个链接使用日本的 vps 访问,同样可以打开,但是日本的 vps 访问 mzstatic.com 会被解析成一个日本 ip ,而北京联通 ip 访问会解析成一个国内的 ip

    3.你的结论是有问题的,对方 302 到了 120.52.72.*网段本身就是 cdn 的设置,就像是解析百度到某个网段一样,如果你把这个正常的网段封了,怎么还能正常访问呢?

    综上,使用 surge 和 wireshark 分析,这个问题与联通无关,但是我现在使用 surge 将 suffix mzstatic.com 设置为 proxy 后,打开手机的 appsotre 的确快了很多,说明蓝汛的 cdn 服务确实有问题
    saymoon
        21
    saymoon  
       2016-01-17 14:03:37 +08:00
    同意 @shakespark 的分析,感觉更像 Apple 自己 CDN 的问题。因为目前位置没有发现非 AppStore 资源下载请求有这种问题。

    同时联通方面得到的反馈是:建议换 DNS 试试。 @shakespark
    popu111
        22
    popu111  
       2016-01-17 15:29:50 +08:00 via Android
    @saymoon 我的测试用网站也遇到了这个问题。图片都 302 ,全部 403 ,图片完全无法加载。又拍上的没出现问题
    有百度云减速,网络环境山东联通
    raysonx
        23
    raysonx  
       2016-01-17 16:54:10 +08:00
    @shakespark 樓主的地址應該是貼錯了,真正的地址應該是: http://images.apple.com/itunes/home/images/music_logo_large.png
    另外我已經確定是聯通搞的劫持了,待會晚上回去投訴。
    aivier
        24
    aivier  
       2016-01-17 17:01:13 +08:00
    这边这样很久了, 302 之后速度很多只有几十 K ,联系了对应公司让他们开了 HTTPS 之后可以跑满

    不影响使用的前提下无所谓,不像鹏博士那样劫持成两年前缓存的资源就可以
    懒得投诉联通了,每次投诉联通都会有人过来训斥我说我乱投诉,不关他们事,不确定的事我是不会乱投诉的
    chemzqm
        25
    chemzqm  
       2016-01-17 17:26:50 +08:00
    表示 MAS 访问经常出问题,可能是为了节省网络出口流量,所以他们对缓存做了些手脚。
    相比那些插广告的,联通还算有点节操的
    raysonx
        26
    raysonx  
       2016-01-17 17:30:09 +08:00
    @aivier 通話錄音,向工信部投訴。
    我之前向電信投訴內網 IP 的問題,一開始各種扯皮,後來我提到向工信部投訴後(還沒有真正投訴),從省裡到地方一個電話一個電話地回訪,說話的態度好得讓人肉麻
    raysonx
        27
    raysonx  
       2016-01-17 17:31:16 +08:00
    @chemzqm 一旦部署這套設備,離插廣告、劫持下載內容、鏡像用戶數據售賣就不遠了。
    畢竟緩存內容不可控。
    gaoxt1983
        28
    gaoxt1983  
    OP
       2016-01-17 17:56:15 +08:00
    大家投诉直接投诉工信部,然后在是否跟运营商投诉过那一块直接说说联通不懂就完了
    bubuyu
        29
    bubuyu  
       2016-01-17 18:55:10 +08:00
    @shakespark 跟 CDN 无关,我这边直接 ping 地址是正确的 CDN (我这版 ping 出来是放在蓝汛的 CDN 地址),但直接去 GET 时就会 HTTP 302 劫持到 http://120.52.72.*/a5.mzstatic.com/ 这样的地址
    LGA1150
        30
    LGA1150  
       2016-01-17 19:44:07 +08:00
    临时解决方法:
    iptables -I FORWARD -p tcp -m string --string "Location: http://120.52.72" --algo bm --dport 80 -j DROP
    LGA1150
        31
    LGA1150  
       2016-01-17 19:46:21 +08:00
    怎么发出来多了个分号……
    gaoxt1983
        32
    gaoxt1983  
    OP
       2016-01-17 19:53:03 +08:00
    说大便说一下我现在的情况:貌似只有 itunes 的 CDN 被劫持,其他的没出现,我觉得可能对方官方有个白名单,知道那些不能劫持,否则吃不了兜着走了……
    gaoxt1983
        33
    gaoxt1983  
    OP
       2016-01-17 20:26:52 +08:00
    steam CDN 由 NMB 被劫持了,大部分时候返回 403 错误,艹
    gaoxt1983
        34
    gaoxt1983  
    OP
       2016-01-17 23:21:50 +08:00
    @saymoon 换 DNS 一点用处都没有的
    a656088752
        35
    a656088752  
       2016-01-18 01:02:40 +08:00
    我这边也出现了这个情况用 chinadns 就没事了。。。。好像国内 dns 的问题
    bh20077
        36
    bh20077  
       2016-01-18 01:19:43 +08:00 via iPhone
    我的网站图片和字体的连接都被劫持到这个 ip 了,打不开,而且我页面的 url 是 /static/xxx.png 开头这样的,结果他劫持成 http://120.52.72.72/static/xxx.png 了,真是弱智。
    darksheen
        37
    darksheen  
       2016-01-18 01:55:24 +08:00
    LZ 和 B 站的菊子桑用的一个头像
    avrillavigne
        38
    avrillavigne  
       2016-01-18 03:24:52 +08:00
    我的破网站一样被劫持 针对图片才有,麻烦彻底点 css 、 js 都给我上,免费 cdn
    bh20077
        39
    bh20077  
       2016-01-18 09:28:04 +08:00 via iPhone
    @avrillavigne 这一步是免费帮你做 cdn ,下一步就是在你页面插他们的 js 了,要坚决投诉。
    yexm0
        40
    yexm0  
       2016-01-18 10:04:07 +08:00 via Android
    avrillavigne
        41
    avrillavigne  
       2016-01-18 10:06:44 +08:00
    @bh20077 我是深圳联通,城域网专线网络的,你呢? 网站原来用了安全宝香港节点 cdn 的。
    lesswest
        42
    lesswest  
       2016-01-18 11:05:08 +08:00
    出现好几天了,打客服投诉管用?
    gaoxt1983
        43
    gaoxt1983  
    OP
       2016-01-18 11:16:41 +08:00
    @lesswest 不管用,投诉工信部吧,记得写清楚。联通客服根本听不懂的……
    SakuraSa
        44
    SakuraSa  
       2016-01-18 11:40:43 +08:00
    这个联通地址似乎和 https://www.v2ex.com/t/251502 提到的 CDN 地址有点像
    xmoiduts
        45
    xmoiduts  
       2016-01-18 12:14:39 +08:00 via Android
    就是一个东西,已经开始被各种开发。
    @SakuraSa
    gaoxt1983
        46
    gaoxt1983  
    OP
       2016-01-18 20:47:19 +08:00
    投诉了工信部后,现在没有出现
    gaoxt1983
        47
    gaoxt1983  
    OP
       2016-01-19 10:15:11 +08:00
    昨天没好,今天又投诉工信部了
    kiddolck
        48
    kiddolck  
       2016-01-19 23:56:50 +08:00
    今天同事跟我说全国联通都开始搞劫持了,本来想今天晚上搞 iOS9.2.1 的更新的,结果一片 403,404 放开了
    不知道他们在想啥,不像是王晓初的主意
    gzelvis
        49
    gzelvis  
       2016-01-20 04:23:21 +08:00
    @kiddolck 我这里自上周开始,开网站卫生巾广告一溜溜的出来,尼玛还有没有王法啊。。网络慢的一逼,这些偷鸡摸狗的事却绝不含糊
    kiddolck
        50
    kiddolck  
       2016-01-20 14:18:20 +08:00
    和运维确认了下,现在苹果和微软整个北方联通都被劫持了,炸裂,联通这是要干啥
    akw2312
        51
    akw2312  
       2016-01-20 15:31:06 +08:00
    山東聯通 (機房線路) 測試了一下沒被劫持走
    還好沒下流到這樣?
    buddha
        52
    buddha  
       2016-01-20 20:09:44 +08:00
    怎么看自己是不是被劫持?
    hbq007
        53
    hbq007  
       2016-04-20 11:17:35 +08:00
    用 Fiddler 或者 Wireshark 抓包确实被劫持了。。以下是北京联通抓包。

    已知的联通劫持后跳转到他们所谓的加速服务器

    120.52.73.3

    120.52.73.8

    120.52.73.53

    120.52.72.56

    抓到的数据


    GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl HTTP/1.1
    Cache-Control: max-age = 900
    Accept: */*
    If-Modified-Since: Fri, 22 Jan 2016 06:00:36 GMT
    If-None-Match: "39a87136da54d11:0"
    User-Agent: Microsoft-CryptoAPI/6.1
    Connection: Keep-Alive
    Host: crl.microsoft.com


    HTTP/1.0 302 Found
    Server: HRS/1.4.2
    Date: Sat, 09 Aug 2016 01:55:02 GMT
    Content-Length: 0
    Content-Type: text/html
    Connection: close
    Cache-Control: no-cache
    Location: http://120.52.73.53/crl.microsoft.com/pki/crl/products/microsoftrootcert.crl

    有图有证据,还有一个不幸的消息。投诉到工信部 联通照样会霸气的回答你
    ISP 缓存数据是合法的然后照样不鸟你不给你解决 。。。也无法给你解决。。
    Cu635
        54
    Cu635  
       2016-06-12 18:01:45 +08:00
    @saymoon
    这事什么软件?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2336 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 15:54 · PVG 23:54 · LAX 07:54 · JFK 10:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.