Sent to you by nothing via Google Reader:
via "GFW Blog(功夫网与翻墙)" via 数字时代精选 in Google Reader by GFW BLOG 功夫网与翻墙 on 4/22/11
来源:http://blog.fatduck.org/2011/04/skype.html昨天有网友在我以前的一篇叫"Skype登录证书被劫持"的文章后留言,说他发现了一样的问题:
1. 上Skype.com正常(国际站,美国IP),没有被引导到Tom Skype。TA提到的这个IP让我产生了兴趣,因为以前没有注意过IP。我whois 114.255.209.142得到如下结果:
2. 点击"Login"后,自动转至https,提示证书属于www.bb-in.com;
3. 用这个证书的登录页面IP为:114.255.209.142
我怀疑是钓鱼。
这 个注册人提供的地址是"qianmendongdajie9hao",用Google搜索了下"前门东大街9号",这是北京市公安局的地址。再看开头的 netname"BJSGAJWLAQBWC-GOV",应该是"北京市公安局网络安全保卫处"的意思,确实有这么个部门。
为啥Skype登录页面https://login.skype.com的IP是上面这个部门的呢?应当不是Skype配合当局在服务器上做的定向,而正是上面网友所说的钓鱼。
我现在不翻墙,通过默认的DNS服务器来看login.skype.com的记录:
$ dig login.skype.com得到的正是北京市公安局的那个地址。而我登录到VPS上,再做同样的操作:
; <<>> DiG 9.7.1-P2 <<>> login.skype.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23362
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;login.skype.com. IN A
;; ANSWER SECTION:
login.skype.com. 213 IN A 114.255.209.142
;; Query time: 4 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Apr 21 14:53:46 2011
;; MSG SIZE rcvd: 49
$ dig login.skype.com这 样是没有被篡改的结果。login.skype.com是CNAME到login.skype-apps.akadns.net的一个别名,这个意思是说 login.skype.com的正宗名(Canonical NAME)是login.skype-apps.akadns.net,而这个域名实际指向193.95.154.30这个IP地址。这样是很常见的做 法,让CNAME所在主机提供一个类似CDN(Content Delivery Network)的服务,根据用户的IP地址提供不同的服务器IP地址。我在VPN连接下,login.skype.com就分别出现过爱尔兰、卢森堡和 爱沙尼亚的IP地址(根据Firefox的Flagfox插件的显示)。
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.6.amzn1 <<>> login.skype.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12968
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;login.skype.com. IN A
;; ANSWER SECTION:
login.skype.com. 300 IN CNAME login.skype-apps.akadns.net.
login.skype-apps.akadns.net. 300 IN A 193.95.154.30
;; Query time: 45 msec
;; SERVER: 172.16.0.23#53(172.16.0.23)
;; WHEN: Thu Apr 21 14:56:12 2011
;; MSG SIZE rcvd: 90
上面作DNS查询我没有在自己电脑上用8.8.8.8查询,这样查询的结果也已经被污染了:
$ dig @8.8.8.8 login.skype.com上面的DNS查询,有时候也会得到正确的结果,但具体规律难以得知。
; <<>> DiG 9.7.1-P2 <<>> @8.8.8.8 login.skype.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45598
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: Messages has 1 extra bytes at end
;; QUESTION SECTION:
;login.skype.com. IN A
;; ANSWER SECTION:
login.skype.com. 213 IN A 114.255.209.142
;; Query time: 10 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Apr 21 15:10:21 2011
;; MSG SIZE rcvd: 50
114.255.209.142这个IP我也遇到了:
特殊的IP地址 |
我这里如果不用SSH Tunnel或者VPN的话,skype.com还是被定向到skype.tom.com。劫持后的证书我在"加入Skype"页面再次发现了,截图如下:
Firefox的安全警告 |
来路不明的证书 |
—————————————————————————————————————————
需要翻墙利器? 请安装Wuala,查找和添加gfwblog为好友,就可高速下载翻墙软件,或访问http://tinyurl.com/gfwblog直接下载。
推特用户请点击这里免翻墙上推特
请点击这里下载翻墙软件
更多翻墙方法请发电邮(最好用Gmail)到:fanqiang70ma@gmail.com
请阅读和关注中国数字时代、翻墙技术博客GFW BLOG(免翻墙)
Things you can do from here:
- Subscribe to "GFW Blog(功夫网与翻墙)" via 数字时代精选 in Google Reader using Google Reader
- Get started using Google Reader to easily keep up with all your favorite sites
No comments:
Post a Comment