 |
1
New2016 Jun 25, 2016 via Android
把 ip 放出来看看
|
 |
2
zsj950618 Jun 25, 2016
第一,用 https 访问 Google ,如果你电脑没被植入什么可疑的根证书,那么可以认为你和 Google 之间的通信是可信的且第三方无法截获。这应该算 SSL 常识。。。
第二, Google 大部分 ip 代反向解析。 比如随便拿个 Google 的 ip 举例: 216.58.197.14 ,怎么判断这个 ip 属于 Google 的呢? 1. dig -x 216.58.197.14 得到反向解析结果, kix06s02-in-f14.1e100.net. 2. 继续验证这个反向结果的正确性, dig kix06s02-in-f14.1e100.net. 得到 216.58.197.14 3. 于是验证结束, 216.58.197.14 这个 ip 属于 Google 。 PS : 1e100.net 是 Google 的域名, 1e100 也是 Google 名字的来源。 |
|
3
zsj950618 Jun 25, 2016
验证 ip 属于 Google 这一步中, dig kix06s02-in-f14.1e100.net 时请使用 dnssec ,即 dig kix06s02-in-f14.1e100.net +dnssec
|
 |
4
linescape Jun 25, 2016 via Android
某组织留几个 ip 给你们一条活路还不感恩戴德居然在这里怀疑人家
|
 |
5
yexm0 Jun 25, 2016
你说的是 220.255.2.153 这个?
|
 |
7
fengxing Jun 25, 2016
先不说 GGC ,就算 AS15169 的官方 ip 段中,可以正常使用的 IP 就有上万个
再说 GGC ,全球大约有 3K 左右的 /24 段,这其中也很很多没有被封锁 并且因为和 google 的链接是 SSL ,现在没有任何组织可以拦截或者破解 SSL 数据的 前一段时间确实有过大面积的 封锁,涉及到 as15169 和绝大部分的 GGC ,所以证明 GFW 是有能力全部封锁,但是现在并没有全部封锁,所以说你先前假设的扫出来 IP 就被黑洞是错误的,导致后面的一系列话全都是错误的 |
 |
9
jhaohai Jun 25, 2016 via iPhone
要封杀 Google 很简单, Google 有自己的 as 号,只要骨干路由不路由这个 as 就行了
|
 |
10
BSD Jun 25, 2016
墙真要封死 Google 其实很容易,因为 Google 分配到的 ip 段是公开的,直接全段封锁就搞定了,我也奇怪为嘛方叫兽不这么做。。。
|
 |
15
wdlth Jun 25, 2016
@a2213108 目前国服网只是象征性的把*.google.com 证书的认证了,很多 video 、 orkut 证书的都没有太严格的封锁,无非只是为了使大部分网民不能随便上 Google 。有的 GGC 速度实在是太不理想了,用的人也不多,流量一大 GGC 自己都会封掉非本网的流量。
像上面那个,电信走 Telia 绕美国,谁爱用就用吧,一段时间后就封,然后再开放另外一批…… |
 |
18
neilp Jun 25, 2016
sni 其实是万恶之源, 造成了 ssl 的不安全.
|
|
19
neilp Jun 25, 2016
ssl 其实是端到端加密, 所以理论上可以抵抗中间环节的 窃听和截取. 即使是运营商或者机房也无可奈何.
所以, 我每次 用谷歌 都要打开证书详情, 看看是由那个 CA 签的. |
 |
20
kslr Jun 26, 2016 via Android
谢谢提醒,我们会尽快安排人手清查漏网之鱼。
|
 |
24
GhostFlying Jun 26, 2016
@neilp 然而没 SNI , cdn 开销太大,只会导致更多网站停留在 http ,以及 Chrome 会自动检查 Google 系的证书的吧,每次手动点开不烦么。。
|
 |
25
bookface Jun 28, 2016
@a2213108 你扫描的 IP 可能是 nslookup -q=TXT _netblocks.google.com 出来的官方服务器,这些 IP 基本上被 Goagent
XX-NET 等玩完了。偶尔有可用 IP,但非常不稳定。现在做 hosts 的 IP 是 ISP 的稍微稳定些,话说 ISP 的 GGC 很难封完 @neilp 截取 SNI 数据只能看到域名,而 Goagent 、 XX-NET 等对 SSL 不安全 |
Select Language