发现新增超级多的 fake ip

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

DNS 参考资料

› List of DNS Record Types

› dig 使用说明

› djbdns

› DNS Parameters

› dnslib for Python

This topic created in 4143 days ago, the information mentioned may be changed or developed.

通过 dig r2---sn-3v2upjvh-6pme.googlevideo.com @8.8.4.4 获得的部分fake ip如下
31.170.8.8,
54.68.166.130
54.235.199.154
173.192.219.59
46.137.219.7
108.168.250.3
201.77.211.143
37.1.205.21
207.58.177.166
67.137.227.11

有些ip直接访问是可以通的.所以这次是下狠心要干掉油管了么....
丢弃黑名单的防止污染可能会要被重新考虑了....
另外这个域名其实是不存在的. 我是通过看油管的一个视频F12抓到的域名,然后随便改了个数字.

Supplement 1 · Jan 1, 2015

昨天在 github 上提交了issue,作者更新了 iplist, 我根据更新后的iplist 更新了我iptables,然后再次查询发现依然有很多ip,其中一个还是越南的.而且还是可以被访问到的....这真是无语了

看来只能用指定域名走非标准端口的办法了.万一哪一天dns 协议被彻底全局污染了估计就只能走隧道了....

Fake

下狠心

油管

27 replies • 2015-02-10 16:50:03 +08:00

iLiberty

Jan 1, 2015

的确是这样已经筛选出来三百多个了...完全抓不完的节奏啊...准备实施Plan B

skydiver

Jan 1, 2015

奇怪的是为什么GFW用固定的fake ip

用完全随机的不行么

GPU

Jan 1, 2015

@iLiberty Plan B 是什么

Dreista

Jan 1, 2015

@GPU 目前可以尝试把DNS解析转发掉，走代理。会慢一点。

SpiritPanda

Jan 1, 2015

有些IP指向别的网站啊，怎么感觉这些网站会无辜中枪啊。如果有大量请求这些网站不是相当于遭受攻击了么。太不厚道了吧。

Dreista

Jan 1, 2015

@SpiritPanda 只能说折腾墙的那帮人太不敬业了，估计就没打算把这点放入考虑范围内。不过幸亏不敬业，还有洞可钻。

xinhugo

Jan 1, 2015

@SpiritPanda @Dreista

「其实……能进 DNS 投毒污染列表的地址都是那种被设置了黑洞路由的地址，实际上到了黑洞路由就会被扔掉，那些地址根本不会收到任何来自这边的数据包」

来源： https://twitter.com/chengr28/status/549945515069018115

Dreista

Jan 1, 2015 via Android

@xinhugo 唔，原来是这样。

fchypzero

Jan 1, 2015

活抓毒药一个

chinni

Jan 1, 2015

已经没办法好好玩耍了....

root@zmbox:~# for k in $( seq 1 2000)
> do
> dig r8---sn-3v2upjvh-3pml.googlevideo.com @8.8.4.4 +short >> ./f.ip
> done
root@zmbox:~# cat f.ip | wc -l
2052

dant

Jan 1, 2015 via iPhone

@chinni 加上 sort|uniq 啊

cj1324

Jan 1, 2015

准备走加密的DNS查询了。。

dant

Jan 1, 2015 via iPhone

@chinni 我在北京区 Azure 用
dig +short honeypot.googlevideo.com @8.0.0.0
只套出了 100 个 fake IP

wdlth

Jan 1, 2015

37.187.149.129
54.174.40.182
72.44.95.165
109.123.115.205
178.33.232.157
194.0.211.167

一抓一大把，ESET一直报警。

chinni

Jan 1, 2015

@dant dig r8---sn-3v2upjvh-3pml.googlevideo.com @8.8.4.4 +short

查询2000次去掉正常的ip后,没有重复的有100个...
还是好恐怖

dant

Jan 1, 2015 via iPhone

@chinni 好像还是隔一段时间更新100个...

chinni

Jan 1, 2015

@dant chinaDNS 更新1.2了不用iplist 也可以.我试过了...

chinni

Jan 1, 2015

@xinhugo 现在针对 googlevideo 查询返回的 "fake ip" 大多都是可以ping 通的有些直接访问ip 是有站点的.

zhengkai

Jan 1, 2015

正在用隧道……把 linode 官方的 dns 通过 ssh -L 127.0.0.1:53053:106.187.35.20:53 指到本地，然后用 pdnsd 转一下给所有机器用

kxjhlele

Jan 1, 2015

建本地dns server吧，直接 root hints 查询

xinhugo

Jan 1, 2015

@chinni 例如？

aaaa007cn

Jan 1, 2015

@xinhugo
用 8.8.114.114 查询顶楼域名 4 次，返回结果如下
208.86.45.11
202.191.50.199
81.169.145.161
62.149.15.227
都跑着 web 服务器……

xinhugo

Jan 1, 2015

@aaaa007cn 我也发现这种情况了，网站运行着服务器，且可直接访问。

Tracert 其中一个IP地址，服务器看起来是在国外的。

chinni

Jan 2, 2015

目前我的解决办法最简单就是把 .googlevideo.com 在dnsmasq 里配置交给其他非标准端口做解析.

另外.ChinaDNS 更新了1.2.0. 不需要iplist 也能正常工作. 我测试了下.清空iplists文件后可以正常解析.
求科普技术.
@xinhugo
@dant

logtee

Jan 7, 2015

root@AY14:~# sort -k2n dns.txt | uniq > dns2.txt;cat dns2.txt|wc -l
3362

buddha

Feb 10, 2015 via Android

最简单的办法就是dnsmasq 转发支持非53端口DNS来解析。
万一以后非53端口也污染那就ss tunnel转发