对 Google 的证书嗅探

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Google Play

› Google Fi

› Google Developers Channel

› Google 全球透明度报告

› 9to5Google

这是一个创建于 3066 天前的主题，其中的信息可能已经有所发展或是发生改变。

似乎很早之前，某神秘组织就开始了对 Google ip 的证书嗅探，几乎刚刚扫出来的 ip 瞬间就被路由黑洞。
那么问题来了，我注意到一些已经广为流传的 h.osts 文件所使用的 ip 已经很久没有更换，并且像这种流量很大的 ip ，应该很好发现，但是直到现在这个 ip 仍然可用。
这根本解释不通。我注意了一下，这是个新加坡 GGC ，那么我妄加揣测一下，这会不会是某神秘组织的蜜罐，用来拦截用户数据？这样就恐怖了

Google

证书

ggc

osts

28 条回复 • 2016-09-16 04:37:14 +08:00

New2016

2016-06-25 16:43:18 +08:00 via Android

把 ip 放出来看看

zsj950618

2016-06-25 16:45:33 +08:00

第一，用 https 访问 Google ，如果你电脑没被植入什么可疑的根证书，那么可以认为你和 Google 之间的通信是可信的且第三方无法截获。这应该算 SSL 常识。。。

第二， Google 大部分 ip 代反向解析。

比如随便拿个 Google 的 ip 举例：
216.58.197.14 ，怎么判断这个 ip 属于 Google 的呢？

1. dig -x 216.58.197.14 得到反向解析结果， kix06s02-in-f14.1e100.net.
2. 继续验证这个反向结果的正确性， dig kix06s02-in-f14.1e100.net. 得到 216.58.197.14
3. 于是验证结束， 216.58.197.14 这个 ip 属于 Google 。

PS ： 1e100.net 是 Google 的域名， 1e100 也是 Google 名字的来源。

zsj950618

2016-06-25 16:48:31 +08:00

验证 ip 属于 Google 这一步中， dig kix06s02-in-f14.1e100.net 时请使用 dnssec ，即 dig kix06s02-in-f14.1e100.net +dnssec

linescape

2016-06-25 16:50:39 +08:00 via Android

某组织留几个 ip 给你们一条活路还不感恩戴德居然在这里怀疑人家

yexm0

2016-06-25 16:52:59 +08:00

你说的是 220.255.2.153 这个?

BFDZ

2016-06-25 16:57:37 +08:00 via Android

@linescape 我认为是墙太垃圾了

fengxing

2016-06-25 16:58:19 +08:00

先不说 GGC ，就算 AS15169 的官方 ip 段中，可以正常使用的 IP 就有上万个
再说 GGC ，全球大约有 3K 左右的 /24 段，这其中也很很多没有被封锁
并且因为和 google 的链接是 SSL ，现在没有任何组织可以拦截或者破解 SSL 数据的
前一段时间确实有过大面积的封锁，涉及到 as15169 和绝大部分的 GGC ，所以证明 GFW 是有能力全部封锁，但是现在并没有全部封锁，所以说你先前假设的扫出来 IP 就被黑洞是错误的，导致后面的一系列话全都是错误的

fengxing

2016-06-25 16:59:49 +08:00

@BFDZ 并不是墙垃圾，而是不想把所有的口给全部封死，前一段墙证明自己有能力吧 google 的全部 IP 给干掉的

jhaohai

2016-06-25 17:04:32 +08:00 via iPhone

要封杀 Google 很简单， Google 有自己的 as 号，只要骨干路由不路由这个 as 就行了

BSD

2016-06-25 17:11:20 +08:00

墙真要封死 Google 其实很容易，因为 Google 分配到的 ip 段是公开的，直接全段封锁就搞定了，我也奇怪为嘛方叫兽不这么做。。。

Andy1999

2016-06-25 17:14:52 +08:00

@zsj950618 SNI Hello 可以使域名暴露

a2213108

2016-06-25 17:33:35 +08:00

@fengxing 关键是我自己用 checkgoogleip 扫出来的 ip 很快就失效，最快的几分钟就被黑洞，我比较纳闷

a2213108

2016-06-25 17:34:45 +08:00

@yexm0 就是这个

a2213108

2016-06-25 17:39:40 +08:00

@fengxing 不过我的意思是 ggc 是部署在运营商的机房，难道就不能在服务器上做点手脚吗

wdlth

2016-06-25 19:05:29 +08:00

@a2213108 目前国服网只是象征性的把*.google.com 证书的认证了，很多 video 、 orkut 证书的都没有太严格的封锁，无非只是为了使大部分网民不能随便上 Google 。有的 GGC 速度实在是太不理想了，用的人也不多，流量一大 GGC 自己都会封掉非本网的流量。
像上面那个，电信走 Telia 绕美国，谁爱用就用吧，一段时间后就封，然后再开放另外一批……

yexm0

2016-06-25 19:22:52 +08:00 via Android

@wdlth 三大里唯独就电信绕了。挺奇葩的

zsj950618

2016-06-25 21:11:38 +08:00

@Andy1999 仅限域名，连 path 都无法暴露。 so ？

neilp

2016-06-25 21:37:23 +08:00

sni 其实是万恶之源, 造成了 ssl 的不安全.

neilp

2016-06-25 21:46:42 +08:00

ssl 其实是端到端加密, 所以理论上可以抵抗中间环节的窃听和截取. 即使是运营商或者机房也无可奈何.

所以, 我每次用谷歌都要打开证书详情, 看看是由那个 CA 签的.

kslr

2016-06-26 06:17:00 +08:00 via Android

谢谢提醒，我们会尽快安排人手清查漏网之鱼。

bclerdx

2016-06-26 14:38:21 +08:00

@kslr 好无耻啊，应该清除内奸，否则 Google 无宁日。

bclerdx

2016-06-26 14:38:57 +08:00

@zsj950618 为什么要加上“+dnssec ”呢？

kslr

2016-06-26 14:41:43 +08:00

@bclerdx 可以保证数据没有被篡改

GhostFlying

2016-06-26 15:35:42 +08:00

@neilp 然而没 SNI ， cdn 开销太大，只会导致更多网站停留在 http ，以及 Chrome 会自动检查 Google 系的证书的吧，每次手动点开不烦么。。

bookface

2016-06-28 07:37:08 +08:00

@a2213108 你扫描的 IP 可能是 nslookup -q=TXT _netblocks.google.com 出来的官方服务器，这些 IP 基本上被 Goagent
XX-NET 等玩完了。偶尔有可用 IP,但非常不稳定。现在做 hosts 的 IP 是 ISP 的稍微稳定些，话说 ISP 的 GGC 很难封完
@neilp 截取 SNI 数据只能看到域名，而 Goagent 、 XX-NET 等对 SSL 不安全

a2213108

2016-06-28 07:48:56 +08:00 via Android

@bookface 并不是，全部都是亚洲国家的 ggc ，而且这种封锁很奇怪，只要我与这个 ip 的 443 端口进行通讯，很快就会黑洞，但同一段的其他 ip 不受影响，显然是机器自动完成的

txydhr

2016-07-05 19:47:27 +08:00 via iPhone

@a2213108 我在阿拉斯加旅游的时候发现一个当地的 ggc 自己用了几个月被 x 了

ixufuyang

2016-09-16 04:37:14 +08:00 via Android

@BSD 墙外边假的东西太多，而且真真假假的需要自己分辨，有些连墙都不会翻的人他们也分辨不了真假的，严格来说那不是墙，那只是一个傻逼过滤器。