URL di blocco del provider di rete, anche se la connessione è stata effettuata su IP

Question

URL di blocco del provider di rete, anche se la connessione è stata effettuata su IP

#1 da (3 voti)
#2 da (1 voti)

2

Mi sono imbattuto in un caso interessante oggi, che con le mie conoscenze limitate non sono in grado di comprendere il funzionamento di.

Stavo cercando di accedere a un link bit.ly , ma è bloccato dalla mia università.

Conoscendo un po 'di richieste HTTP e materiale di rete di base, inizialmente sospettavo un blocco DNS. Ma anche dopo aver cambiato su google DNS, ricevevo l'errore della pagina bloccata.

Ho usato nslookup, sia dalla mia riga di comando che da una utility web, e ho ottenuto uno dei server come 67.199.248.10 .

Ho usato chrome per ispezionare la richiesta e, in effetti, il dominio era stato risolto per quell'IP.

Ho persino usato curl sul mio computer locale e ho ottenuto questo risultato:

$ curl bit.ly -v
* Rebuilt URL to: bit.ly/
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0*   Trying 67.199.248.10...
* TCP_NODELAY set
* Connected to bit.ly (67.199.248.10) port 80 (#0)
> GET / HTTP/1.1
> Host: bit.ly
> User-Agent: curl/7.56.1
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Content-Type: text/html; charset="utf-8"
< Content-Length: 1272
< Connection: Close
<
{ [1272 bytes data]
100  1272  100  1272    0     0   1272      0  0:00:01 --:--:--  0:00:01  5412<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><style type="text/css">html,body{height:100%;padding:0;margin:0;}.oc{display:table;width:100%;height:100%;}.ic{display:table-cell;vertical-align:middle;height:100%;}div.msg{display:block;border:1px solid #30c;padding:0;width:500px;font-family:helvetica,sans-serif;margin:10px auto;}h1{font-weight:bold;color:#fff;font-size:14px;margin:0;padding:2px;text-align:center;background: #30c;}p{font-size:12px;margin:15px auto;width:75%;font-family:helvetica,sans-serif;text-align:left;}
</style>

<title>The URL you requested has been blocked</title></head>
<body>

<div class="oc">
<div class="ic">

<div class="msg" style="text-align: center"><img src=https://www.hku.hk/f/page/7561/basic_logo_20.jpg alt="The University of Hong Kong"></img><h1>The URL you requested has been blocked </h1><p>The webpage you have requested has been blocked, because the page was reported as containing phishing material.  <br>Please refer to <a href="http://www.its.hku.hk/spam-report">HKU Spam report </a> or contact <a href="mailto:[email protected]">[email protected]</a> if you have further enquiry.<br /><br />URL = bit.ly/<br /></p></div></div></div></body></html>

* Closing connection 0

Ora, sono molto curioso di una cosa: se sono in grado di stabilire una connessione, (dice che sono connesso all'IP alla porta specificata), come si presenta l'università? È una specie di firewall che vede:

If (coming from bit.ly IP) => {Replace HTML with our- block page} ?

Questa è la mia ipotesi più vicina, dal momento che su HTTPS ottengo il certificato non valido. Chiedendo solo come sta accadendo, le risposte o persino le supposizioni saranno apprezzate.

Modifica: anche un traceroute:

Tracing route to bit.ly [67.199.248.10]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  147.8.121.200
  2    11 ms     3 ms     2 ms  147.8.240.57
  3     6 ms     1 ms     2 ms  147.8.240.65
  4    <1 ms    <1 ms    <1 ms  147.8.240.121
  5    <1 ms    <1 ms    <1 ms  147.8.239.8
  6     1 ms     1 ms     1 ms  203.188.117.1
  7     2 ms     2 ms     2 ms  165084185137.ctinets.com [165.84.185.137]
  8     2 ms     2 ms     2 ms  202.4.163.3
  9     3 ms     2 ms     2 ms  014136142018.ctinets.com [14.136.142.18]
 10     3 ms     3 ms     3 ms  ix-ge-9-0-0.core1.undefined.as6453.net [180.87.160.33]
 11     7 ms     4 ms     3 ms  if-ge-4-1-0.hcore1.h71-hong-kong.as6453.net [180.87.160.102]
 12     4 ms     3 ms     3 ms  if-ae-38-2.tcore1.hk2-hong-kong.as6453.net [116.0.67.86]
 13     4 ms     4 ms     3 ms  116.0.67.194
 14     3 ms     3 ms     3 ms  po110.bs-b.sech-hkg2.netarch.akamai.com [72.52.2.184]
 15     4 ms     3 ms     3 ms  ae121.access-a.sech-hkg2.netarch.akamai.com [72.52.2.189]
 16   307 ms   326 ms   349 ms  93.191.173.93
 17   152 ms   152 ms   152 ms  a72-52-42-132.deploy.static.akamaitechnologies.com [72.52.42.132]
 18     *        *      151 ms  ae5.cbs01.eq01.sjc02.networklayer.com [50.97.17.72]
 19   150 ms   150 ms   150 ms  e1.11.6132.ip4.static.sl-reverse.com [50.97.17.225]
 20   150 ms   151 ms   150 ms  po1.fcr01b.sjc03.networklayer.com [169.45.118.135]
 21   150 ms   150 ms   150 ms  67.199.248.10

Trace complete.

http ip firewalls tls curl

posta poiasd 18.08.2018 - 18:39

fonte

2 risposte

1

If (coming from bit.ly IP) => {Replace HTML with our- block page}?

Questa è una buona idea e come viene eseguita la maggior parte dei filtri di rete. Su base di dominio anziché su base indirizzo IP. Ai server Web viene spesso richiesto di reindirizzare. Quindi, "67.199.248.10" viene reindirizzato a " link ", quindi abbastanza spesso " link "viene reindirizzato a" link ".

safesploit$ curl bit.ly -v
* Rebuilt URL to: bit.ly/
*   Trying 67.199.248.10...
* TCP_NODELAY set
* Connected to bit.ly (67.199.248.10) port 80 (#0)
> GET / HTTP/1.1
> Host: bit.ly
> User-Agent: curl/7.54.0
> Accept: */*
> 
< HTTP/1.1 302 Moved Temporarily
< Server: nginx
< Date: Sat, 18 Aug 2018 16:51:43 GMT
< Content-Type: text/html
< Content-Length: 154
< Connection: keep-alive
< Location: https://bitly.com/
< 
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>nginx</center>
</body>
</html>
* Connection #0 to host bit.ly left intact

Ho eseguito $ curl bit.ly -v sulla rete Tor e ho prodotto lo stesso risultato. Quindi, sembra più probabile che l'università stia eseguendo un MITM. Tuttavia, dovrei fare attenzione con quella dicitura, dato che è la loro rete e va su Internet tramite i loro router, ma è possibile reindirizzare il traffico, sia in ingresso (in entrata) che in uscita (in uscita). Per esempio. come il modo in cui i server web ti reindirizzano all'errore 404, l'università può fare lo stesso, se il dominio youtube.com:443 poi reindirizza a 192.168.1.100/websiteNotAllow.html.

Ecco alcune idee su come puoi "bloccare" l'accesso a un sito web sul tuo computer locale. Blocco dei siti web con / etc / hosts . Per quanto riguarda l'elusione di questa censura, consulta Evitare il rilevamento del monitoraggio Dark Web che delineo punti riguardanti l'elusione della censura usando Tor e Rivelare l'IP di un destinatario di posta elettronica utilizzando lo script PHP remoto o il tracciamento dei pixel dove menziono diversi tipi di proxy SOCKS.

risposta data 18.08.2018 - 19:13

fonte

Leggi altre domande sui tag http ip firewalls tls curl

Dove trovare tutti i certificati CA root? Come verificare la proprietà del server tramite IP pubblico (senza dominio associato)?

score 3 · Accepted Answer

Suggerirei che ci sia un firewall che esegue un'ispezione approfondita dei pacchetti. L'handshake TCP viene inoltrato alla destinazione originale ma il firewall sta guardando la connessione. Quindi vede la richiesta HTTP con l'intestazione Host e controlla il valore dell'intestazione rispetto alla politica. Se il sito è vietato in base alla politica, il firewall risponderà alla richiesta con il messaggio di errore visualizzato, cioè, in pratica, dirottare la connessione TCP e inserire il proprio pacchetto.

Se ho ragione e il firewall sta solo controllando l'intestazione Host della richiesta, potresti provare a impostare la tua intestazione. Ad esempio se google.com è permesso dal firewall che potresti provare

 curl -v -H 'Host: google.com' bit.ly

Se la mia teoria è corretta la richiesta non verrà rifiutata ma verrà passata all'indirizzo IP di bit.ly che attualmente risponde a tale richiesta con l'header Host errato con codice di stato 302 (reindirizzamento), alcuni cookie set (cioè Set-Cookie header) e Location che punta a https://bitly.com/pages/landing/branded-short-domains-powered-by-bitly?bsd=google.com .
Tieni presente che alcuni malware utilizzano esattamente questo metodo per simulare l'intestazione Host per ignorare le policy nei firewall e anche per rendere innocenti i dati dei log.