全球主机交流论坛

标题: Hostloc上原创重磅文章：Godaddy上的域名在国内为何解析失败？ [打印本页]

作者: 4x相识 时间: 2012-7-20 22:43
标题: Hostloc上原创重磅文章：Godaddy上的域名在国内为何解析失败？
本帖最后由 4x相识于 2012-7-21 14:31 编辑

各位，由于原来假设的路由正常遇到挑战，原文的观点尚不能成为最后的结论，暂时关闭，请原谅。

下周我将尝试与集团协商先解决路由问题，待论证的基础夯实之后，欢迎大家继续讨论。

在未最终确定Godaddy问题之前，友情提醒114DNS：目前你已经能访问Godaddy上的所有域名，是否需要先关停？

作者: Zeddicus 时间: 2012-7-20 22:44
淡定

作者: star826 时间: 2012-7-20 22:44
提示: 作者被禁止或删除内容自动屏蔽

作者: jumpsky 时间: 2012-7-20 22:45
这文章估计要被人转载了

作者: 单手摘月 时间: 2012-7-20 22:46
提示: 作者被禁止或删除内容自动屏蔽

作者: jeffpan 时间: 2012-7-20 22:49
lz真强。我有空也验证下，用erlang写段DNS代码

作者: domin 时间: 2012-7-20 22:49
本帖最后由 domin 于 2012-7-20 22:51 编辑

可能性是很高的
但有一些特殊可能性也应该考虑。

作者: leebright 时间: 2012-7-20 22:52
看不懂似乎很厉害的样子

作者: wdlth 时间: 2012-7-20 22:54
国人垃圾站多，狗爹又是间谍的主流推广，一堆小白。

作者: 辰景 时间: 2012-7-20 22:54
都说墙的缘故，结果现在才发现不是。
墙可真冤，被骂了这么长时间。

作者: 微笑着吃饭 时间: 2012-7-20 22:57
原创重磅，淡定不能啊

作者: 辰景 时间: 2012-7-20 22:58
球带

作者: 4x相识 时间: 2012-7-20 22:58
墙不冤枉

但技术出错都一股脑儿推到墙身上，那就害人害己！

作者: gulonely 时间: 2012-7-20 23:01
有的能有的不能，应该是墙了部分dns吧，具体请看http://www.williamlong.info/archives/3161.html

作者: wenguonideshou 时间: 2012-7-20 23:02
原创文章感觉可信度很高

作者: 4x相识 时间: 2012-7-20 23:02
Godaddy被迫引刀自宫，那才叫郁闷呀

作者: 听花醉月 时间: 2012-7-20 23:03
我一直不认为是墙，墙怎么可能会让它一时抽风两天，一时又不抽呢？

何况用国内的域名，国内的dns，只是解析他的IP，过一两天就抽。。。。原因复杂，但不是墙

作者: zc035 时间: 2012-7-20 23:05
对本文的简化：

godaddy DNS无法使用有两种可能：

1、godaddy 自己封掉的。
2、GW/F。

为什么说是 GW/F 而不是 godaddy 自己呢？

因为，不是所有的 dns都无法解析，部分dns是可以解析的。比如，30到 39 的某几个DNS，我解析我的域名是正常的。

可是某一些DNS无法解析，比如: 11,12, 07,08 ,65,66 ,我的几个域名默认使用这几租DNS，最终无法解析。

为什么有部分DNS 能响应呢？楼主考虑一下就知道了

作者: 泥蛋 时间: 2012-7-20 23:08

往墙里扔石头，砸谁谁倒霉

作者: 4x相识 时间: 2012-7-20 23:10
gulonely，技术没有什么神秘的，特别是计算机相关技术。任何学科的逻辑推理都是相通的，只要你愿意动一下脑筋，就能判断出真假，人云亦云才是提升技术理解能力的大敌。

作者: 4x相识 时间: 2012-7-20 23:19
zc035的问题非常好回答，在美国的PC上，伪造中国的IP到Godaddy不同的NS去解析，在中国的PC上也是仅能收到部分NS的响应包，为何其他NS的包在中国收不呢？ DNS请求可是在美国发出，没有个经过墙，墙要干掉它唯一的可能就是拦截Godaddy的响应包，但我的文章中已经说明：我伪造了Godaddy所有IP，发送DNS响应到国内，都没被墙干掉。唯一的可能就是被Godaddy自己干掉。请问能理解了吗？

作者: 4x相识 时间: 2012-7-20 23:33
伟大的Godaddy居然不是被墙挡住，而是被逼自宫，看来老大也有难言之隐呀

老大，我是无意冒犯你的，要怪就怪我对这事儿太认真。

可这能怪我吗？谁叫你不苦练内功呢？要知道山外有山楼外有楼，没有点危机感终有一天会堕落的。

作者: zc035 时间: 2012-7-20 23:37

4x相识发表于 2012-7-20 23:19
zc035的问题非常好回答，在美国的PC上，伪造中国的IP到Godaddy不同的NS去解析，在中国的PC上也是仅能收到部 ...

OK。我理解了。~请原谅，不过。我无法知道为什么会出现这个事实。

有几个特别的DNS 中国能响应。。。

作者: 4x相识 时间: 2012-7-20 23:40
wenguonideshou，原创并不很重要，关键是逻辑推理没有任何瑕疵，就跟证明数学公式一样严密。
日后如果有机会，我到Godaddy去问问，为何这般无奈？

作者: Kokgog 时间: 2012-7-20 23:44
伪造ip还能接收到返回数据.........咩咩，快来看神迹.....

作者: 信仰 时间: 2012-7-20 23:53
都说墙的缘故，结果现在才发现不是。
墙可真冤，被骂了这么长时间。

作者: 4x相识 时间: 2012-7-20 23:54
证明是Godaddy自己所为之后，我也纳闷Godaddy 为何这么差呢？

早些时候我与BIND的开发公司Nominum谈过，将BIND的商业版软件性能提升10倍，Nominum很清楚我们的力量，但Nominum的老板居然担心性能太高之后卖出的COPY减少。后来又想让Verisign用我们的技术，但苦于找不着门路，自此对国外市场失去了兴趣。

经zc035这么一反问，看来我得找机会跟Godaddy谈谈，也许能赚回不少美刀，我的一些朋友总跟我说，如果技术过关，老外的钱更好赚。

作者: 4x相识 时间: 2012-7-20 23:58
Kokgog，看花眼了吧？是在美国的PC上伪造中国的IP地址发出DNS请求给Godaddy，但在中国的PC上收到了Godaddy的响应包，或者在美国的PC上伪造Godaddy的IP地址发出DNS响应包给中国的PC。

作者: 360安全卫士 时间: 2012-7-21 00:05

domin 发表于 2012-7-20 22:49
可能性是很高的
但有一些特殊可能性也应该考虑。

我曾经域名使用GD自己的DNS，发现解析不了，tracert DNS IP发现到了GD公司某IP后*了，我就有过楼主这样的猜测。但鉴于没有去揭露的动力，而且相信GODADDY也是苦于无奈，所以就随时间推移而淡忘了，

作者: domin 时间: 2012-7-21 00:11
我觉得楼主猜测的可能性是很高, 但还是有其它可能性的, 例如GD针对伪造IP攻击来限制了线路来源, 那伪造IP收到不响应包那是很正常的, 又例如政府针对GD出口或者入口线路进行特别的过滤也会造成这个情况

作者: 4x相识 时间: 2012-7-21 00:14
太认真也不好，现在还没吃晚饭

还是要学习360安全卫士，什么事都淡定一点

作者: atbaidu 时间: 2012-7-21 00:18
小白的同胞小弟弟啊

作者: 4x相识 时间: 2012-7-21 00:23
domin，俺可不是猜测而是验证，这二者有本质的区别！如果你有兴趣，请告知你的IP和在Godaddy上的域名，我在美国伪造你的IP向Godaddy发起DNS解析请求，要求解析你的域名，你在你的PC上抓包，看是否每个IP包都能收到，你就知道Godaddy有无能耐区分伪造IP的DNS请求，Verisign都做到，Godaddy更是没有这个能耐。

路由常识：路由器按Hash(源IP、目标IP)选择多径路由中的一条，无法指定从多径路由中某条出去，回来也是如此。

作者: 4x相识 时间: 2012-7-21 00:35
熬不住了，睡觉去了

作者: 小新 时间: 2012-7-21 00:37
刚看标题想喷楼主，看了内容就不喷了。确实有自宫的可能...参考1API

作者: domin 时间: 2012-7-21 00:47

4x相识发表于 2012-7-21 00:23
domin，俺可不是猜测而是验证，这二者有本质的区别！如果你有兴趣，请告知你的IP和在Godaddy上的域名，我 ...

当然是可以指定的, 别跟我说简单的常识. 如果你认识BGP的话, 抗DDOS常用的手段就是针对某线路进行特别过滤, 从电信来的流量指定某一线路进入, 其它线路如果进入电信的IP流量那就是不正常,丢弃.

我只是说有这个可能性. 我懒得去验证.

作者: 4x相识 时间: 2012-7-21 02:45
睡不着，继续：）

多径路由包括两种（1）多条等带宽电路二层捆绑，Cisco目前支持16条捆绑，Juniper也差不多，各采用不同的方法来做LoadBalance，由于它在二层，BGP无法指定对哪条进行操作；（2）ISP对付DDoS的确常采用BGP，特别是在IDC机房，当某个IP被攻击时，注入32位掩码BGP路由，从而将被攻击IP的流量牵引到DDoS清洗设备，清洗过的流量采用二层或MPLS VPN 回注。但墙在国际出口覆盖了所有电路，再用BGP牵引的方法来清洗某些流量属画蛇添足。

我推出Godaddy是自宫，还基于在美国的PC伪造中国的IP_B向Godaddy发出请求，Godaddy某个NS是否响应的情况与国内实际拥有IP_B地址的PC向Godaddy发出请求的结果惊人地一致。如果墙没有与Godaddy串通一气，那这个概率在数学上约为2的80次方分之一（Godaddy实际工作的NS数量约80）。

多说了一句路由常识，让domin误会了我的意思。不过回头看看自己写的这句话，现在看看的确不妥，又无法删除，只能在此向domin道歉。

作者: javaluo 时间: 2012-7-21 08:28
还有一个可能，dns查询是一级一级向上查询的gd部分n被抢，所以解析不了，然后部分地区没问题，所以dns服务器在某些网络是可以解析的，比如你说的114可能会主动查询其他没被墙的ns，猜测啊。。。。。。

作者: mix 时间: 2012-7-21 08:40

实力非凡，估计国内找不到第二家

用得着这样吗

作者: Bye 时间: 2012-7-21 08:46
有收获

作者: will_z 时间: 2012-7-21 08:54

支持楼主！

作者: 4x相识 时间: 2012-7-21 09:51
javaluo，墙掉某个域名，的确在DNS递归过程任何一步都可以实现，只要DNS请求穿过墙。目前你如果去解析twi特，在访问DNS根节点时就被墙了，但这与Godaddy某个NS被墙掉是完全不同的两码事，前面我已对此做了详细的论证：Godaddy不是被墙而是自宫。此外，我们有理由相信墙的精确制导能力还是不错的，不会差到需要墙掉Godaddy某个NS的地步，那样的误伤率估计墙自己都无法接受

作者: SalesHosting 时间: 2012-7-21 10:02
我只是很想补充一句：Godaddy的NS也是用的Anycast。

作者: 李院长 时间: 2012-7-21 10:33

论证过程根本就是很片面的，如果并不是包回不来，而是出去的时候就被干掉了呢？你没有证明这一点

还有，以下问题你没有解答：

1. 如果是godaddy主动限制，那么应该是全部机器都限制；如果说某组ns受到攻击，再去主动限制，那样至少了是按组限制，但现在，就现在，ns01好的，ns02不通

2. qiang的明显特征是udp被干，但tcp却一点问题没有，现在，就现在，godaddy所有受影响的dns都是这样，如果是主动限制，为什么只限制udp，不限制tcp，如果godaddy有防攻击或自动限制，他应该知道tcp更应该限制

作者: 李院长 时间: 2012-7-21 10:35
其实要证明很简单，只需要在国内ip到godaddy不正常dns之间的国内1个+国外1个路由上截包就知道了，这样就能知道包在哪里没有了，也只有这样才有说服力，大家也很期待这样的結果，我相信楼主可以做到的，你就截出来让大家爽一下吧

作者: domin 时间: 2012-7-21 10:35

4x相识发表于 2012-7-21 02:45
睡不着，继续：）

多径路由包括两种（1）多条等带宽电路二层捆绑，Cisco目前支持16条捆绑，Juniper也差不 ...

我说的跟你说的是两回事, 算了你不明白我说的也无所谓, 我就是说说有这个可能性,虽然这个可能性很低.

作者: SalesHosting 时间: 2012-7-21 10:37
李院长说的也对，我就觉得少一个过程。没必要那么麻烦，直接拿国内的主机伪造国外IP到国外主机上去查看就行了。

作者: domin 时间: 2012-7-21 12:40

SalesHosting 发表于 2012-7-21 10:37
李院长说的也对，我就觉得少一个过程。没必要那么麻烦，直接拿国内的主机伪造国外IP到国外主机上去查看就行 ...

我觉得李院子说得没错, 唯一100%准确的验证办法就是在路由上捉包, 伪造IP来验证的方法如果GD真的用了某些手段来防止伪造IP的话, 是行不通的.
防止伪造的原理很简单, 只需要用BGP来指定电信和联通的流量必须通过某一条线路, 而其它线路如果进入电信联通IP的流量那就是不正常, 丢弃即可. 这种方式别说GD这种大公司, 连我这小公司都能做到.

作者: 360安全卫士 时间: 2012-7-21 12:47

李院长发表于 2012-7-21 10:33
论证过程根本就是很片面的，如果并不是包回不来，而是出去的时候就被干掉了呢？你没有证明这一点

还有， ...

亲，你tracert一下被X的节点你就能发现猫腻了。
是在GODADDY某层网关被null了的。

作者: 俺低调 时间: 2012-7-21 12:50

4x相识发表于 2012-7-20 23:10
gulonely，技术没有什么神秘的，特别是计算机相关技术。任何学科的逻辑推理都是相通的，只要你愿意动一下脑 ...

看了帖子，技术上的还真不太懂，不过这话说的我喜欢

作者: 气味 时间: 2012-7-21 12:52
虽然不懂看起来好强

作者: 4x相识 时间: 2012-7-21 13:06
发现一些异常，俺仅有省干路由器的权限，请大家稍微等待。

作者: huyez 时间: 2012-7-21 13:12
提示: 作者被禁止或删除内容自动屏蔽

作者: SalesHosting 时间: 2012-7-21 13:17

360安全卫士发表于 2012-7-21 12:47
亲，你tracert一下被X的节点你就能发现猫腻了。
是在GODADDY某层网关被null了的。 ...

那好像不是某层网关。GD DNS使用了Anycast，我从多个地方traceroute发现基本上是服务器最终地址前一个或者前面第二个。

作者: 4x相识 时间: 2012-7-21 14:41
各位，周一才能协调路由问题，希望能找到原因便于大家继续讨论，不排除是一乌龙球。

作者: 360安全卫士 时间: 2012-7-21 15:20

SalesHosting 发表于 2012-7-21 13:17
那好像不是某层网关。GD DNS使用了Anycast，我从多个地方traceroute发现基本上是服务器最终地址前一个或 ...

反正是GODADDY的问题就OK啦，，我支持楼主

作者: 4x相识 时间: 2012-7-21 21:59
目前Godaddy的两段IP， 216.69.185.0/24 及 208.109.255.0/24，在AS9808上稳定收敛，但在AS4134和AS4837上好像很“活跃”。我找移动的老同事测试了一下，在移动能解析Godaddy的所有域名，有中移动IDC的伙计，可以验证一下。

作者: hitsword 时间: 2012-7-21 22:23

作者: zidane 时间: 2012-7-22 08:09
提示: 作者被禁止或删除内容自动屏蔽

作者: 4x相识 时间: 2012-7-22 11:28
本帖最后由 4x相识于 2012-7-28 12:10 编辑

第1次来论坛，现用的帐号还是某个朋友送的，看不懂上述表情，估计是烦躁急于想弄清结果吧？我已尽力，又小有进展来告知大家：

经SalesHosting提醒Godaddy也用了Anycast，再仔细看了路由器上的BGP表，他网的BGP表我看不到，只能找老同事、也在网上找到一些他网IP帮我进行追踪，目前已经确定的情况是（1）电信AS4134及联通AS4837国干访问Godaddy NS，寻址到Godaddy北美中心，目前路由有异常；（2）移动AS9808、铁通AS9394、教育网AS4538，寻址到Godaddy在新加波的亚太中心，目前路由正常；

路由正常的地方，都能到Godaddy正常解析，异常的地方都表现出不稳定。造成这一结果，是Godaddy有意为之、乌龙、还是其他原因暂不得而知，以后将继续找原因，当然结果不一定能满足所有人的需要。

李院长提到的在路由上抓包，我已经抓过没有丢包，但我仅有省干路由器的权限，估计没法让大家爽起来。

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)