大葱省联通4G跳huang网 求教排查方案

Xiaomage2333

本帖最后由 Xiaomage2333 于 2024-2-23 09:57 编辑

RT，最近发现我的1IP小站跳在联通4G的网络下，每天第一次访问跳H网。因为种种原因并没有开HSTS，因此第一次访问还是HTTP，每天第一次访问必跳H网，跳转完之后哪怕强制使用HTTP访问都不能再复现了，每天只会出现一次。复现的话每天只有一次机会，每天0点重置。

tcpdump用wireshark分析如下，正常的TTL是49，可是突然返回了TTL为230的一个包，这个包有问题：







很长时间了，去年夏天就有，访问古博测评站天天跳，没想到自己的站也开始了，是联通在搞HTTP劫持吗？请教大佬如何排查和硬刚联通？

抓包的时候开了DOT，因此应该不是DNS劫持，就是HTTP劫持。

我把一个子域名解析到了联通测速平台上，明天再试试，看看是不是根据域名SNI判断是否要劫持的，因为直接访问CF IP的80端口并没有被劫持。
另外我在cf worker上新起了一个hello world，明天试试，排除服务器挂马问题。

FeiLai

联通的内鬼搞的

Xiaomage2333

FeiLai 发表于 2024-2-23 09:47

联通的内鬼搞的
我感觉也是 联通劫持一搜一把 电信干的就很少

simonw

先看服务器WEB日志，请求有没有到达服务器，注意内容size，是不是正常，可以URI使用一个不存在的地址，返回404，更容易对比。

可以试试换本地IP，应该能复现。

机长

51.la maccms lnmp .org 这三个养马场排查下

simonw

看了下包里的IP，你是开了CF的PROXY吧，关了试试。有可能是劫持的CF的IP。

Xiaomage2333

机长 发表于 2024-2-23 10:01

51.la maccms lnmp .org 这三个养马场排查下
感谢提醒，但是这三个都没用到，只是我树莓派上的一个smokeping，docker搭的，用cloudflare tunnel内网穿透出来我自己看 你提到的这三个确实容易出问题