Windows 用来检测网络连通性的 IP 似乎被劫持了

2021-10-08 06:13:35 +08:00
 mason961125

起因

前几天发现 Windows 的网络图标一直显示未联网状态,但实际上是联网了,后来搜索了下大概率是 Windows 的网络连通性探测的机制有问题了。

Active Probe

一般来说,如果联网了,并且实际能够通过浏览器访问互联网,但 Windows 却显示 无 Internet, 已连接,大概率是 Active Priobe 出了问题。

Active Probe 会从两个角度进行测试:

两个测试任意一个不过都会导致 无 Internet, 已连接 这个结果。除了图标的显示有差别外,Windows 其实把 Active Probe 的结果用在了很多系统内置条件的判断上,网络不通会导致非常多的功能不可用。

👇 注册表中 Active Probe 相关参数

经过一番测试后发现用来测试 Web 连通性的域名 www.msftconnecttest.com 对应的 IP 被 TCP 劫持了,ICMP 和 UDP 似乎没有问题。

排查

于是分别对两个测试的内容进行手动测试,由于没有 v6 环境,就跳过了 v6 测试。最终发现 DNS 解析测试是完全没有问题的,而 HTTP 连接测试则出现了劫持情况。

具体表现为:

👇 TCP 路由跟踪

👇 全球端口测试

解决方案

既然 Active Probe 因为自己不可控的原因不能成功,那就禁用 Active Probe 。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\InternetEnableActiveProbing1 改为 0 来禁用,完成后重启即可。

27717 次点击
所在节点    宽带症候群
129 条回复
77ShiORi
2021-10-09 00:00:00 +08:00
家里移动双栈没见到这个,反而今天在公司遇到了这个问题。
Mac
2021-10-09 00:07:24 +08:00
不是劫持,应该是改 IP 了,各大 DNS 缓存有 48 小时的延后时间。我前天遇到这个问题的,在逼乎看到的一个很早以前的帖子,说的就是这个。我还用 ping.pe 测过这个域名,全球节点在 48 小时前都 loss 100%,IP 地址也不是今天这个。目前上海电信,用 119.29.29.29DNS 解析出来的地址是能正常访问的。
Garphy
2021-10-09 00:19:20 +08:00
今天早上新电脑带到公司,我还以为是公司网络问题,囧···
Greatshu
2021-10-09 00:42:56 +08:00
这也是人干出来的事?
https://z3.ax1x.com/2021/10/09/5iCrZV.png
Osk
2021-10-09 01:15:21 +08:00
想说脏话了, 我被迫把网络重置了才解决这个问题, 一开始就怀疑是不是 nsci 服务器出问题了, 但下意识一想: 这不科学, 谁闲的去搞 ncsi 服务器.


结果真是这样...
Lemeng
2021-10-09 01:37:55 +08:00
我的是 vm 虚拟机版本的问题,退后一个版本就正常了,百度的方法都不可以,没有去研究版本的方法
Atomo
2021-10-09 04:44:32 +08:00
虽然没有遇到这个问题,但是也自建了一个服务器,以绝后患,真·全球可访问
[![5iAoCT.png]( https://z3.ax1x.com/2021/10/09/5iAoCT.png)]( https://imgtu.com/i/5iAoCT)
tempestissimo
2021-10-09 08:57:07 +08:00
@Lightbright 目前发现这个项目在 21H2 上失效了,具体原因未知🤔
nmap
2021-10-09 09:44:53 +08:00
你这完全没解释为啥大部分时候网络探测显示是没问题的
starrysky806
2021-10-09 09:44:55 +08:00
看完回复我问各位一个问题,有去真访问一下看看么.该域名使用*.clo.footprintdns.com 非本域名证书
https://www.msftconnecttest.com/connecttest.txt

<h2>Our services aren't available right now</h2><p>We're working to restore all services as soon as possible. Please check back soon.</p>0I/NgYQAAAAChT3AHphTwRoP8WmfXkZ2BVFlCRURHRTA4MDYARWRnZQ==
人家 HTTP 400 回复
villivateur
2021-10-09 09:59:34 +08:00
@starrysky806 你为啥要用 https 去访问
Cassius
2021-10-09 10:07:13 +08:00
这个感觉直接在出口上 dns 劫持一劳永逸了啊。内网开一个 nginx 直接把这个 txt 挂上去,dns 劫持到 nginx 上收工了。
starrysky806
2021-10-09 10:16:28 +08:00
@villivateur 习惯了,http 是 200 ok,看来确实有问题
explorerproxy
2021-10-09 10:58:29 +08:00
昨天还没问题的,今天又出现了
Lightbright
2021-10-09 11:36:21 +08:00
@tempestissimo 需要手动修改偏移
me221
2021-10-09 12:08:00 +08:00
@chnyuwen 可以正常使用
me221
2021-10-09 12:16:15 +08:00
@bclerdx 依次点击 Profiles==》第三个按钮==》 Add==》
Content 填写 www.msftconnecttest.com
Type 选择 DOMAIN
Proxy or Policy 选择代理策略组
Themyth
2021-10-09 12:38:12 +08:00
@villivateur 如果是向域名发送敏感词,为何劫持的是解析到的 ip 而不是这个域名本身?
不过这的确像是假墙现象。
villivateur
2021-10-09 12:42:05 +08:00
@Themyth 为啥不能劫持 IP,墙有很多种运行方式
starsky007
2021-10-09 12:46:50 +08:00
You have no Internet connection despite you can open this page. --Microsoft
尽管您可以打开此页面,但您没有 Internet 连接。 - 微软
来源: https://github.com/dantmnf/NCSIOverride

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/806309

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX