MINXIN-T于2024-3-11进行ISP割接至CM+CT多IP出口
2024-3-11下午变回HKBN单IP出口
吐槽:十分甚至九分的复杂啊!
DNS
测试过程中,不同DNS的情况下,网络出口均有区别,故特别增加DNS章节
默认DNS
自动获取DNS会返回IPv4与IPv6的内网IP
DNS出口如图:
在使用默认DNS时,出境流量会统一返回一个电信IPv6地址,无论服务器是否IPv4Only,这IPv6起到隧道的作用,出口包含v4。如图:CNAME真实结果为LAX的IPv4地址
境内流量则正常返回响应值
自选DNS
自选DNS在访问境外网站时不会返回劫持IPv6地址
在使用自选DNS进行境外互联时,IPv4会通过CMIN2进行互联,IPv6会通过CTG互联
CDN命中节点
多出口IP
默认DNS
AS4809的IPv4仅为隧道的出口IP(目标IPv4ONLY)
自选DNS
劫持IPv6
由此IP可以看出来确实是专线业务分配的v6地址,这个v6地址会变。
但是最终通过这个IPv6出境的流量会被汇总到一个隧道出口,即使是IPv4ONLY的服务器也会通过隧道出口的AS4809进行互联
路由追踪
妈的,忘了Trace多一下v6的路由,但是看CF的结果应该是走电信直连出口
出境隧道劫持
Cloudflare
Cloudflare通过CTG在HKIX进行互联
TG
目标包含AAAA记录,通过CTG互联
8.8.8.8
仅使用v4地址进行nxtrace,网络出口为CMIN2
1.1.1.1
原谅我没用nxtrace
很明显,连v4地址走CMI.
境外特殊网站访问
民心学校有访问Youtube,Twitter等在中国被"墙"的网站的权利
为区分使用权利,学生网与访客网均接入CM的网络,教师网才可接入HKBN的网络
其中,访客网与教师网均需进行账号密码二次登录;学生网限速7-10M,屏蔽加密DNS,URL黑名单过滤
这里,讨论2024-3-11的CM+CTG混合的教师网
访问Youtube,Twitter,Wiki等需要使用自动DNS
DNS在收到特殊网站请求后会返回IPv6劫持入口,隧道通过汇聚至CTG出口,实现绕过GFW
隧道出口为v4+v6
如请求域名为普通网站会返回真实结果并通过CM普通互联
但使用自选DNS时不会返回劫持入口的IPv6,会返回真实IP
此时,v4流量会通过普通CM路由并经过GFW(下图1),特殊网站通通TCPReset
v6流量应该是过CTG路由(下图2)
下图:自选DNS返回真实IP被GFW阻断
下图:v6流量过CTG
运用穷乏的知识写出来的分析,民心独家(乐