在腾讯云北京(ASN AS45090)的VPS上对此事件的观察结果:
与@5e2t的观察结果不同,我们并未在我们的观察点上观察到1.1.1.1:443端口的TCP RST数据包。特别是,我们可以成功使用curl -v https://1.1.1.1获取完整的网页。这表明这次新的审查事件在不同地理位置或自治系统之间存在不一致性。
我们观察到1.1.1.1:80端口可能会注入一个“302 Moved Temporarily”或“301 Moved Permanently”消息,试图将用户重定向到国家反欺诈中心的网站。
以下是一种未发生注入的示例:
ubuntu@VM-32-5-ubuntu:~$ curl -v http://1.1.1.1
* Trying 1.1.1.1:80...
* TCP_NODELAY set
* Connected to 1.1.1.1 (1.1.1.1) port 80 (#0)
> GET / HTTP/1.1
> Host: 1.1.1.1
> User-Agent: curl/7.68.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 301 Moved Permanently
< Server: cloudflare
< Date: Sun, 01 Oct 2023 22:49:54 GMT
< Content-Type: text/html
< Content-Length: 167
< Connection: keep-alive
< Location: https://1.1.1.1/
< CF-RAY: **REDACTED**-SJC
<
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>cloudflare</center>
</body>
</html>
* Connection #0 to host 1.1.1.1 left intact
以下是注入了“302 Moved Temporarily”的示例:
ubuntu@VM-32-5-ubuntu:~$ curl -v http://1.1.1.1
* Trying 1.1.1.1:80...
* TCP_NODELAY set
* Connected to 1.1.1.1 (1.1.1.1) port 80 (#0)
> GET / HTTP/1.1
> Host: 1.1.1.1
> User-Agent: curl/7.68.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Moved Temporarily
< Connection: close
< Location: http://182.43.124.6/fzyujing?parameter2=REDACTED
<
* Closing connection 0
特别需要注意的是,输出中的REDACTED参数由319个字符组成。通过在不同时间点对相同的观察点进行查询,发现319个字符消息中只有第129到150个字符(22个字符)和第257到278个字符(22个字符)发生了变化。目前尚不清楚这个参数中编码了什么信息。
来自1.1.1.1的真实的301 Moved Permanently响应最终会传递给客户端(但比注入消息到达的时间晚),表明审查者并未丢弃来自1.1.1.1:80的真实响应。
托管国家反欺诈中心网站的IP 182.43.124.6的ASN信息如下:
host asn asname cc registry
182.43.124.6 AS58519 CHINATELECOM-CTCLOUD Cloud Computing Corporation, CN CN apnic
此外,根据@5e2t的观察,他位于河南,但收到的RST信号并不来自河南的审查设备,而是上海出口的审查设备。由于他和上海出口之间的延迟为28毫秒,traceroute也显示网络路径经过了上海。
基于中国网络审查的复杂性和地域差异, 有关GFW是否对1.1.1.1进行了封锁尚不得而知。我们将继续关注事件的进展,并持续报道相关信息。