1. 上Skype.com正常(国际站,美国IP),没有被引导到Tom Skype。TA提到的这个IP让我产生了兴趣,因为以前没有注意过IP。我whois 114.255.209.142得到如下结果:
2. 点击“Login”后,自动转至https,提示证书属于www.bb-in.com;
3. 用这个证书的登录页面IP为:114.255.209.142
我怀疑是钓鱼。
这个注册人提供的地址是“qianmendongdajie9hao”,用Google搜索了下“前门东大街9号”,这是北京市公安局的地址。再看开头的netname“BJSGAJWLAQBWC-GOV”,应该是“北京市公安局网络安全保卫处”的意思,确实有这么个部门。
为啥Skype登录页面https://login.skype.com的IP是上面这个部门的呢?应当不是Skype配合当局在服务器上做的定向,而正是上面网友所说的钓鱼。
我现在不翻墙,通过默认的DNS服务器来看login.skype.com的记录:
$ dig login.skype.com得到的正是北京市公安局的那个地址。而我登录到VPS上,再做同样的操作:
; <<>> DiG 9.7.1-P2 <<>> login.skype.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23362
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;login.skype.com. IN A
;; ANSWER SECTION:
login.skype.com. 213 IN A 114.255.209.142
;; Query time: 4 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Apr 21 14:53:46 2011
;; MSG SIZE rcvd: 49
$ dig login.skype.com这样是没有被篡改的结果。login.skype.com是CNAME到login.skype-apps.akadns.net的一个别名,这个意思是说login.skype.com的正宗名(Canonical NAME)是login.skype-apps.akadns.net,而这个域名实际指向193.95.154.30这个IP地址。这样是很常见的做法,让CNAME所在主机提供一个类似CDN(Content Delivery Network)的服务,根据用户的IP地址提供不同的服务器IP地址。我在VPN连接下,login.skype.com就分别出现过爱尔兰、卢森堡和爱沙尼亚的IP地址(根据Firefox的Flagfox插件的显示)。
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.6.amzn1 <<>> login.skype.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12968
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;login.skype.com. IN A
;; ANSWER SECTION:
login.skype.com. 300 IN CNAME login.skype-apps.akadns.net.
login.skype-apps.akadns.net. 300 IN A 193.95.154.30
;; Query time: 45 msec
;; SERVER: 172.16.0.23#53(172.16.0.23)
;; WHEN: Thu Apr 21 14:56:12 2011
;; MSG SIZE rcvd: 90
上面作DNS查询我没有在自己电脑上用8.8.8.8查询,这样查询的结果也已经被污染了:
$ dig @8.8.8.8 login.skype.com上面的DNS查询,有时候也会得到正确的结果,但具体规律难以得知。
; <<>> DiG 9.7.1-P2 <<>> @8.8.8.8 login.skype.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45598
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: Messages has 1 extra bytes at end
;; QUESTION SECTION:
;login.skype.com. IN A
;; ANSWER SECTION:
login.skype.com. 213 IN A 114.255.209.142
;; Query time: 10 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Apr 21 15:10:21 2011
;; MSG SIZE rcvd: 50
114.255.209.142这个IP我也遇到了:
 |
| 特殊的IP地址 |
我这里如果不用SSH Tunnel或者VPN的话,skype.com还是被定向到skype.tom.com。劫持后的证书我在“加入Skype”页面再次发现了,截图如下:
 |
| Firefox的安全警告 |
 |
| 来路不明的证书 |
7 条评论:
你这个还算明显的知道是个假冒的。
http://j.mp/eIZNIv
文章中重要的因素没有写清楚:你用哪个DNS服务器时得到被劫持的结果?
C:\>nslookup login.skype.com
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 8.8.8.8: Timed out
Server: google-public-dns-b.google.com
Address: 8.8.4.4
Non-authoritative answer:
Name: login.skype-apps.akadns.net
Address: 193.95.154.30
Aliases: login.skype.com
IP显示是爱尔兰 193.95.154.30
我测试过两个湖南的DNS,得出来的都是没有被劫持的,一个是比利时 212.8.166.28 卢森堡 78.141.177.141
C:\>nslookup login.skype.com 222.246.129.81
*** Can't find server name for address 222.246.129.81: Non-existent domain
Server: UnKnown
Address: 222.246.129.81
Non-authoritative answer:
Name: login.skype-apps.akadns.net
Address: 193.95.154.30
Aliases: login.skype.com
C:\>nslookup login.skype.com 61.234.254.5
Server: dns1.hncrc.net.254.234.61.in-addr.arpa
Address: 61.234.254.5
DNS request timed out.
timeout was 2 seconds.
Non-authoritative answer:
Name: login.skype-apps.akadns.net
Address: 78.141.177.141
Aliases: login.skype.com
是用北京联通的DNS测试的。
希望胖鸭子把博文写得更通俗些,特别是让我这样不是专业,但又很想了解网络情况的人。比如在什么平台之上,用什么软件测试。
以后会注意这个。你用Firefox浏览器安装个Flagfox的插件,就可以显示服务器所在国家的国旗和IP了。Whois命令你在http://whois.net查询就可以了。DNS查询在Windows下用nslookup命令即可。
意思是说如果用浏览器浏览,能发现证书无法验证。但是skype客户端是不检查证书的吗?
正常的SSL客户端都应该检查证书的。但是国内的Skype没有研究过,可以用Wireshark抓包看看。
发表评论