V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
chinni
V2EX  ›  DNS

发现新增超级多的 fake ip

  •  
  •   chinni · 2015-01-01 00:01:25 +08:00 · 10064 次点击
    这是一个创建于 3614 天前的主题,其中的信息可能已经有所发展或是发生改变。
    通过 dig r2---sn-3v2upjvh-6pme.googlevideo.com @8.8.4.4 获得的部分fake ip如下
    31.170.8.8,
    54.68.166.130
    54.235.199.154
    173.192.219.59
    46.137.219.7
    108.168.250.3
    201.77.211.143
    37.1.205.21
    207.58.177.166
    67.137.227.11

    有些ip直接访问是可以通的.所以这次是下狠心要干掉 油管了么....
    丢弃黑名单的防止污染可能会要被重新考虑了....
    另外 这个域名其实是不存在的. 我是通过看油管的一个视频F12抓到的域名,然后随便改了个数字.
    第 1 条附言  ·  2015-01-01 10:26:43 +08:00
    昨天在 github 上提交了issue,作者更新了 iplist, 我根据更新后的iplist 更新了我iptables,然后再次查询 发现依然有很多ip,其中一个还是越南的.而且还是可以被访问到的....这真是无语了

    看来只能用指定域名走非标准端口的办法了.万一哪一天dns 协议被彻底全局污染了 估计就只能走隧道了....
    27 条回复    2015-02-10 16:50:03 +08:00
    iLiberty
        1
    iLiberty  
       2015-01-01 01:48:41 +08:00
    的确是这样 已经筛选出来三百多个了...完全抓不完的节奏啊...准备实施Plan B
    skydiver
        2
    skydiver  
       2015-01-01 02:07:13 +08:00
    奇怪的是为什么GFW用固定的fake ip

    用完全随机的不行么
    GPU
        3
    GPU  
       2015-01-01 02:07:56 +08:00
    @iLiberty Plan B 是什么
    Dreista
        4
    Dreista  
       2015-01-01 02:19:24 +08:00
    @GPU 目前可以尝试把DNS解析转发掉,走代理。会慢一点。
    SpiritPanda
        5
    SpiritPanda  
       2015-01-01 02:27:25 +08:00
    有些IP指向别的网站啊,怎么感觉这些网站会无辜中枪啊。如果有大量请求这些网站不是相当于遭受攻击了么。太不厚道了吧。
    Dreista
        6
    Dreista  
       2015-01-01 02:39:40 +08:00
    @SpiritPanda 只能说折腾墙的那帮人太不敬业了,估计就没打算把这点放入考虑范围内。不过幸亏不敬业,还有洞可钻。
    xinhugo
        7
    xinhugo  
       2015-01-01 02:59:08 +08:00   ❤️ 1
    @SpiritPanda @Dreista

    「其实……能进 DNS 投毒污染列表的地址都是那种被设置了黑洞路由的地址,实际上到了黑洞路由就会被扔掉,那些地址根本不会收到任何来自这边的数据包」

    来源: https://twitter.com/chengr28/status/549945515069018115
    Dreista
        8
    Dreista  
       2015-01-01 03:09:11 +08:00 via Android
    @xinhugo 唔,原来是这样。
    fchypzero
        9
    fchypzero  
       2015-01-01 03:11:46 +08:00
    活抓毒药一个
    chinni
        10
    chinni  
    OP
       2015-01-01 10:33:10 +08:00
    已经没办法好好玩耍了....

    root@zmbox:~# for k in $( seq 1 2000)
    > do
    > dig r8---sn-3v2upjvh-3pml.googlevideo.com @8.8.4.4 +short >> ./f.ip
    > done
    root@zmbox:~# cat f.ip | wc -l
    2052
    dant
        12
    dant  
       2015-01-01 11:09:15 +08:00 via iPhone
    @chinni 加上 sort|uniq 啊
    cj1324
        13
    cj1324  
       2015-01-01 11:10:24 +08:00
    准备走加密的DNS查询了。。
    dant
        14
    dant  
       2015-01-01 11:18:32 +08:00 via iPhone
    @chinni 我在北京区 Azure 用
    dig +short honeypot.googlevideo.com @8.0.0.0
    只套出了 100 个 fake IP
    wdlth
        15
    wdlth  
       2015-01-01 12:47:24 +08:00
    37.187.149.129
    54.174.40.182
    72.44.95.165
    109.123.115.205
    178.33.232.157
    194.0.211.167

    一抓一大把,ESET一直报警。
    chinni
        16
    chinni  
    OP
       2015-01-01 13:13:03 +08:00
    @dant dig r8---sn-3v2upjvh-3pml.googlevideo.com @8.8.4.4 +short


    查询2000次 去掉正常的ip后,没有重复的有100个...
    还是好恐怖
    dant
        17
    dant  
       2015-01-01 14:50:08 +08:00 via iPhone
    @chinni 好像还是隔一段时间更新100个...
    chinni
        18
    chinni  
    OP
       2015-01-01 15:45:26 +08:00
    @dant chinaDNS 更新1.2了 不用iplist 也可以.我试过了...
    chinni
        19
    chinni  
    OP
       2015-01-01 15:46:48 +08:00   ❤️ 1
    @xinhugo 现在针对 googlevideo 查询返回的 "fake ip" 大多都是可以ping 通的 有些直接访问ip 是有站点的.
    zhengkai
        20
    zhengkai  
       2015-01-01 16:22:23 +08:00
    正在用隧道……把 linode 官方的 dns 通过 ssh -L 127.0.0.1:53053:106.187.35.20:53 指到本地,然后用 pdnsd 转一下给所有机器用
    kxjhlele
        21
    kxjhlele  
       2015-01-01 16:36:12 +08:00
    建本地dns server吧,直接 root hints 查询
    xinhugo
        22
    xinhugo  
       2015-01-01 18:06:46 +08:00
    @chinni 例如?
    aaaa007cn
        23
    aaaa007cn  
       2015-01-01 20:29:06 +08:00   ❤️ 1
    @xinhugo
    用 8.8.114.114 查询顶楼域名 4 次,返回结果如下
    208.86.45.11
    202.191.50.199
    81.169.145.161
    62.149.15.227
    都跑着 web 服务器……
    xinhugo
        24
    xinhugo  
       2015-01-01 21:23:18 +08:00
    @aaaa007cn 我也发现这种情况了,网站运行着服务器,且可直接访问。

    Tracert 其中一个IP地址,服务器看起来是在国外的。
    chinni
        25
    chinni  
    OP
       2015-01-02 13:02:45 +08:00
    目前我的解决办法 最简单 就是把 .googlevideo.com 在dnsmasq 里配置交给其他非标准端口做解析.

    另外.ChinaDNS 更新了1.2.0. 不需要iplist 也能正常工作. 我测试了下.清空iplists文件后 可以正常解析.
    求科普技术.
    @xinhugo
    @dant
    logtee
        26
    logtee  
       2015-01-07 11:56:17 +08:00
    root@AY14:~# sort -k2n dns.txt | uniq > dns2.txt;cat dns2.txt|wc -l
    3362
    buddha
        27
    buddha  
       2015-02-10 16:50:03 +08:00 via Android
    最简单的办法就是dnsmasq 转发支持非53端口DNS来解析。
    万一以后非53端口也污染 那就ss tunnel转发
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2813 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:49 · PVG 13:49 · LAX 21:49 · JFK 00:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.