在我家的机器上,google.com解析为46.134.200.108 (public100460.xdsl.centertel.pl)。该 IP 的 WHOIS 表明它归 Orange 所有,而 Orange 恰好是我的 ISP。
在我的 VPS 上,google.com解析为173.194.112.206 (fra02s17-in-f14.1e100.net),它归 Google 所有。
两台机器都在同一个国家,并配置为使用Google的DNS服务器(8.8.8.8、8.8.4.4)。
现在,我如何判断这是一个合法的 Google CDN 服务器还是 ISP 正在利用我的连接做一些可疑的操作?
答案1
正如您提到的,它确实看起来不像是 Google 地址。
成熟, 这区域互联网注册局 (RIR)对于欧洲,即向欧洲实体分配 IP 地址空间的组织,列出了46.134.200.108作为 46.134.192.0 - 46.134.255.255 范围内地址块的一部分,其分配情况如下:
组织名称:PTK-Centertel 组织类型:其他
地址:Orange Polska SA
地址:Al. Jerozolimskie 160
地址:02-326 Warszawa
地址:POLAND
您可以模拟 Web 浏览器向服务器发出的命令,并使用以下方式查看服务器的响应远程登录。如果您有 Linux 或 OS X 系统,您可能已经安装了该实用程序。Microsoft 不再将该实用程序作为 Windows 默认安装的一部分,但 油灰是一款适用于 Microsoft Windows 系统的免费程序,可提供 SSH和 telnet 客户端支持;PuTTY 可用于模拟 Web 浏览器,同样。如果你这样做,你会看到,当浏览器连接到 46.134.200.108 地址时,服务器会自动将其重定向到 www.google.com(我将你要输入的命令加粗),并返回HTTP 301状态码:
$ telnet 46.134.200.108 80
Trying 46.134.200.10... Connected to 46.134.200.10. Escape character is '^]'.
GET / HTTP/1.1 Host: google.com
HTTP/1.1 301 Moved Permanently Location: http://www.google.com/
Content-Type: text/html; charset=UTF-8 Date: Fri, 24 Jul 2015 00:51:14 GMT Expires: Sun, 23 Aug 2015 00:51:14 GMT Cache-Control: public, max-age=2592000 Server: gws Content-Length: 219 X-XSS-Protection: 1; mode=block X-Frame-Options: SAMEORIGIN Alternate-Protocol: 80:quic,p=0
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8"> <TITLE>301 Moved</TITLE></HEAD><BODY> <H1>301 Moved</H1> The document has moved <A HREF="http://www.google.com/">here</A>. </BODY></HTML>` Connection closed by foreign host.
您的浏览器通常会自动转到网址在“位置:”之后提供,因此您通常不会看到“文档已移动”消息。
我还注意到,当我使用时我得到了相同的结果telnet 46.134.200.10 80,即我无意中从“108”中省略了“8”,因此似乎有多个 IP 地址分配给您的 ISP,它们也处理对 google.com 的查询。
如果您连接到http://google.com在分配给 Google 的其他地址上,216.58.217.142 (iad23s43-in-f142.1e100.net)例如
美国互联网号码注册中心 (ARIN)显示已分配给 Google,如果您使用,您将看到相同的重定向发生http://google.com. 即,您将被重定向至http://www.google.com。如果您在 www.google.com 上执行 nslookup,您会看到什么 IP 地址?
要确定为什么您的 ISP 在搜索 google.com 时会返回其自己的地址之一,您可能需要询问 ISP。Google 现在会自动将 HTTP 流量重定向到 HTTPS,因此除非您的 ISP 设法让您在系统上安装安全证书,允许 ISP 的系统之一作为中间人欺骗你的系统,让它认为它正在处理 Google 系统,但事实并非如此,一旦你的浏览器重定向到使用 HTTPs 而不是 HTTP,你的流量应该被加密,并对 ISP 隐藏https://www.google.com,或者可能是https://www.google.pl/为你。
Google 拥有分布式网络架构为了负载均衡,因此,当世界各地的人们在 Google.com 上查找 IP 地址时,他们会看到不同的 IP 地址。即使是同一国家/地区不同地区的人们也可能会查看不同的 IP 地址。而且,由于 Google 使用轮询 DNS技术,同样,某人的系统现在可能查找 google.com 的 IP 地址并获取一个 IP 地址,但一小时后查找该地址时会获取另一个 IP 地址。例如,当我对 google.com 执行 nslookup 时,这是我在美国的一个网站上看到的内容:
Name: google.com Addresses: 173.194.121.7, 173.194.121.3, 173.194.121.1, 173.194.121.2 173.194.121.6, 173.194.121.4, 173.194.121.9, 173.194.121.8, 173.194.121.5 173.194.121.0, 173.194.121.14
如您所见,返回的是 IP 地址列表,而不仅仅是一个。这些 IP 地址中的任何一个都可用于访问 Google 的搜索引擎。
我认为 Google 可能与您的 ISP 有协议,以便在波兰实现负载平衡,而不是您的 ISP 做了任何见不得人的事。Google 的业务遍布全球,将波兰的系统引向波兰的网络资源是合理的,因为波兰的地理位置更近,因此网络跳数也更近,例如,https://www.google.pl/。 这完整域名www.google.pl 在我目前使用的美国系统上解析为 216.58.217.131,但对于波兰的任何人来说可能无法解析为该地址。