Cloudflare 的一个节点疑似也被中间人

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1710 天前的主题，其中的信息可能已经有所发展或是发生改变。

RT，我刚在查找资料时进入了一个网站，结果提示连接不是私密连接。证书跟 GitHub pages 被劫持的证书一样。想到可能是受到 GitHub pages 被中间人的影响，这个网站可能用的是 GitHub pages 。于是我就 nslookup 了一下，看看是不是 github 用的 fastly CDN. 看到 nslookup 结果我就傻了：

服务器:  pdns.dnspod.cn
Address:  119.29.29.29
非权威应答:
名称:    (被访问网站的域名)
Addresses:  2606:4700:3035::681b:ae1d
          2606:4700:3037::681b:af1d
          104.27.175.29
          104.27.174.29

104.27.175.29 不是 cloudflare 的节点吗？ ipip 查询结果也显示“美国 CloudFlare 公司 CDN 节点” CF 也被劫持了？我自己有个用 cf 的小站，我在 host 里指定 ip 为 104.27.175.29 ，也被劫持了。对 V2EX 进行同样操作，也被劫持。

我的网络环境是山东电信；山东移动 4G 提示连接超时。大家可以试一试。

12 条回复 • 2020-03-26 21:58:17 +08:00

Xiaomage2333

2020-03-26 19:28:59 +08:00

补一张图 https://i.loli.net/2020/03/26/pB2yUC8WbxT1Oda.png

Cipool

2020-03-26 19:41:42 +08:00

北京电信复现

villivateur

2020-03-26 19:46:40 +08:00

@d1540076394 v2ex?

Xiaomage2333

2020-03-26 19:56:08 +08:00 via Android

@villivateur V2EX 用的也是 cf 的 CDN

justin2018

2020-03-26 20:18:39 +08:00

curl -vvv https://v2ex.com 腾某云

* SSL connection using TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* subject: CN=v2ex.com,O="CloudFlare, Inc.",L=San Francisco,ST=CA,C=US
* start date: Jun 20 00:00:00 2019 GMT
* expire date: Jun 19 12:00:00 2020 GMT
* common name: v2ex.com
* issuer: CN=CloudFlare Inc ECC CA-2,O="CloudFlare, Inc.",L=San Francisco,ST=CA,C=US
0 0 0 0 0 0 0 0 --:--:-- 0:00:01 --:--:-- 0> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: v2ex.com
> Accept: */*

Xiaomage2333

2020-03-26 20:24:34 +08:00

@justin2018 你的服务器改 host 了吗？直接访问 V2EX 是没问题的，改成那个特定的节点才会报错。刚才又试了一下，这一会我这里已经不能复现了，可能是暂时的，跟地区也有关，你可以再试试

justin2018

2020-03-26 20:27:26 +08:00

@d1540076394 原来如此我看漏了 ~

ZRS

2020-03-26 20:41:40 +08:00

可能是所有路由经过那的 TLS 请求都被劫持了吧

miaomiao888

2020-03-26 21:47:56 +08:00

应该是蔷在测试新技术 ...
有说京东也受影响的但那人页面的 IP 显示美国，说明可能 DNS 解析到国外，需要经过 GFW 的都可能被劫持

chotow

2020-03-26 21:51:36 +08:00

https://phptherightway.com/ 也挂了

loukky

2020-03-26 21:56:15 +08:00

这是我很久以前测过的
https://photo.weibo.com/1811312013/wbphotos/large/mid/4401620093877011/pid/6bf66d8dgy1g5ns2b6xoug21hc0swu14

dndx

2020-03-26 21:58:17 +08:00

这个太牛逼了：

```
curl https://cloudflare.com/cdn-cgi/trace --resolve cloudflare.com:443:104.27.175.29 -vk
* Server certificate:
* subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; [email protected]
* start date: Sep 26 09:33:13 2019 GMT
* expire date: Sep 23 09:33:13 2029 GMT
* issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; [email protected]
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.

ip=自己的 IP 地址

CF 返回的 client IP 还是自己真实的 IP，所以劫持的人不仅控制了出国的路由，回国的也被控制了。这是三网全国出国骨干路由器都被控制了的节奏？