[请教] 对 dig mail.google.com @112.124.47.27 得到的国内 ip 203.195.174.41 感到不解，望提供线索

DNS 参考资料

› dnslib for Python

This topic created in 4082 days ago, the information mentioned may be changed or developed.

```
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @112.124.47.27
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29988
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;mail.google.com. IN A

;; ANSWER SECTION:
mail.google.com. 600 IN A 203.195.174.41

;; AUTHORITY SECTION:
mail.google.com. 600 IN NS localhost.

;; Query time: 59 msec
;; SERVER: 112.124.47.27#53(112.124.47.27)
;; WHEN: Mon Apr 6 00:29:19 2015
;; MSG SIZE rcvd: 72
```

查了一下, 得到
http://www.ipcheck.cn/203.195.174.41
这个ip所在的地址段属于腾讯。

如果直接访问这个ip, Chrome会警告说这个网站的证书是给google.com的，和地址203.195.174.41不符，而证书本身，Chrome说 is valid.

我没有足够的知识来理解这里发生了什么，腾讯从自己的ip反向代理了google的ip么？或者是个陷阱？

有人能告诉我发生了什么吗？
以及，能建议几个搜索关键词关于实现这个的技术么？

然后不妨看看别的国内DNS的解析结果。
```
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @114.114.114.114
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60812
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mail.google.com. IN A

;; ANSWER SECTION:
mail.google.com. 376948 IN CNAME googlemail.l.google.com.
googlemail.l.google.com. 40 IN CNAME mail-china.l.google.com.
mail-china.l.google.com. 41 IN A 173.194.72.83
mail-china.l.google.com. 41 IN A 173.194.72.17
mail-china.l.google.com. 41 IN A 173.194.72.18
mail-china.l.google.com. 41 IN A 173.194.72.19

;; Query time: 73 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: Mon Apr 6 00:30:47 2015
;; MSG SIZE rcvd: 149
```
173.194.72.83 据 https://ipinfo.io/173.194.72.83 说在Mountain View, 有趣的地方在CNAME是mail-china.l.google.com, 也许Google退出中国之前，mail-china.l.google.com 曾经指向一台国内的服务器？

作为参考，dnscrypt-proxy -> dnscrypt-wrapper -> 8.8.8.8 的结果是这样的
; <<>> DiG 9.8.3-P1 <<>> mail.google.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39017
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mail.google.com. IN A

;; ANSWER SECTION:
mail.google.com. 21599 IN CNAME googlemail.l.google.com.
googlemail.l.google.com. 299 IN A 173.194.123.53
googlemail.l.google.com. 299 IN A 173.194.123.54

;; Query time: 361 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Apr 6 00:31:12 2015
;; MSG SIZE rcvd: 103

还有更多的google有关的域名，从国内的DNS查询，会得到国内的ip:
"www-google-analytics.l.google.com",
"ssl.google-analytics.com",
"clients1.google.com",
"oauth.googleusercontent.com",
"clients4.google.com",
"googlehosted.l.googleusercontent.com",
"code.google.com",
"ssl-google-analytics.l.google.com",
"ssl.gstatic.com",
"mail.google.com",
"clients2.google.com",
"safebrowsing.cache.l.google.com",
"www.gstatic.com",
"accounts.google.com",
"plus.google.com",
"support.google.com",
"play.google.com",
"translate.google.com",
"clients5.google.com",
"csi.gstatic.com",
"lh3.googleusercontent.com",
"maps.googleapis.com",
"fonts.googleapis.com",
"p4-fjxzzhhbnbftk-wqtl63hegtnygzcr-if-v6exp3-v4.metric.gstatic.com",
"googleadapis.l.google.com",
"fonts.gstatic.com",
"maps.gstatic.com",
"clients3.google.com",
"ajax.googleapis.com",
"chrome.google.com",
"www.googleapis.com",
"gmail.com",
"chatenabled.mail.google.com",
"ci6.googleusercontent.com",
"ci3.googleusercontent.com",
"clients6.google.com",
"mail-attachment.googleusercontent.com",
"lh6.googleusercontent.com"

其中 oauth.googleusercontent.com 有国内的ip让我睡意消退了一些。

query

mail

dig

17 replies • 2015-04-07 12:26:17 +08:00

47jm9ozp

Apr 6, 2015

应该就是DNS污染随机到了一个国内IP上吧。。

47jm9ozp

Apr 6, 2015

仔细看了一下，应该是IP反查误差吧……既然证书合法，中间人没有私钥，怎么都没法截取你的数据

aarwwefdds

Apr 6, 2015

楼主的这个推导完全建立在错误的基础上的。

谷歌得知112.124.47.27是属于：
http://www.mwsl.org.cn/onedns/
112.124.47.27是一台阿里云的机器

他们可能在实验扶墙dns，方式是通过在服务器上直接返回权威IP。IP指向了一台腾讯云，腾讯云上可能做了SNIPROXY。

所以只是他们自己的行为而已。至于安全性，SNIPROXY并不能解码通信内容，它只是根据访问的SNI头转发SSL链接而已。

slowman

Apr 6, 2015

这是 OneDNS 提供的反向代理的 IP，目的是翻墙

snowhs

Apr 6, 2015

@1423 能问一下消息来源吗？

xiaozhizhu1997

Apr 6, 2015 via Android

csi和fonts早被Google指向国内，203.208开头是Google在北京的IP。
至于那个情况…可能是：你-国内跳板-国外反代-Google

xieyudi1990

Apr 6, 2015

入口是腾讯的IP, 出口是Vultr.

应该是反代.

slowman

Apr 6, 2015 via Android

@snowhs 谷歌一下这个 IP ，第一条不就是么
http://www.mwsl.org.cn/onedns/

Oi0Ydz26h9NkGCIz

Apr 6, 2015

112.124.47.27这是onedns的南方节点呀，你从www.onedns.net就能看到了。
至于203.195.174.41试试就知道是干嘛的了

snowhs

Apr 6, 2015

@1423 很抱歉我没有说清楚问题，让有的朋友误以为我在 `dig mail.google.com @112.124.47.27` 的时候都不知道自己在用 One DNS.
我说"能问一下消息来源吗？"的时候，想表达的是关于"这是 OneDNS 提供的反向代理的 IP，目的是翻墙"，我想知道多一些，还想知道消息来源。

snowhs

Apr 6, 2015

@xieyudi1990 能请教一下是怎样查到 203.195.174.41 的出口在 Vultr 的吗？

JayFang1993

Apr 6, 2015 via iPhone

楼上们聊的都不懂。。顺便问下能给个手机收gmail邮件推送的解决方案吗，未越狱iphone和android，不想一直开着vpn

aarwwefdds

Apr 6, 2015

@snowhs OneDNS没明说，不过做了点黑箱测试可以知道这是他们有意这么设置的。之前我说用sniproxy可以做到，后来进一步测试了下，203.195.174.41这台服务器仅提供了谷歌的服务转发，而谷歌的IP都有通用性，这样的话更简单的做法是直接用类似rinetd的软件转发某个谷歌IP的443端口到自己的443上。
（其实他们真的可以用sniproxy，这样推特也可以用了）

至于203.195.174.41这台服务器怎么访问谷歌就很简单，很多方式可以实现，最简单的就是VPN了。

snowhs

Apr 6, 2015

@aarwwefdds 抱歉伸手，能指点一下这个黑箱测试怎么做吗？

> OneDNS没明说，不过做了点黑箱测试可以知道这是他们有意这么设置的

aarwwefdds

Apr 6, 2015

@snowhs 对他们那个DNS请求推特 FB 返回的都是空结果，说明他们有意防污染。国内其他DNS包括自己递归都是一般的谷歌IP。国内互通基本上是无墙的，基本排除墙。
203.195.174.41我几乎用任何谷歌域名请求都能返回正确的证书和页面，使用其他域名是谷歌的403页面。可以说明这个IP很可能只是转发了某个谷歌IP的443端口到自己的443端口上。这种转发很难MITM，很难知道双方通信内容，对墙这种已经掌控了出入口的东东来说毫无意义，那只能是OneDNS有意设置的一台反代了。

xieyudi1990

Apr 6, 2015

@snowhs 访问 https://203.195.174.41/, 忽略证书警告, 打开的是Google. 在这个打开的Google里搜索 "ip", Google就会显示这个连接客户端的IP, 然后在bgp.he.net里查询.

刚刚访问了一次, 和昨天的出口IP不同, 这次是香港的.

leavic

Apr 7, 2015

就是反向代理+DNS劫持，如果不做这个劫持，你又访问不了国外IP，那他们怎么帮你翻墙。