×

【排错】“斗地主”不成,想找AC的茬儿,不料却抖出了AF
  

螺丝钉 14323

{{ttag.title}}
事情得从几天前想斗地主说起。为啥想斗地主呢?主要是因为某公司社区畅所欲言板块有个“每周歌单”前个周推荐了斗地主的背景音乐,不小心排名第一。就又勾起了我斗地主的欲望......

这周我又推荐了《国际歌》,好听得很,麻烦大家给我点赞去:
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=23542&page=1#/pid148166

言归正传,打开QQ空间,里面本来是有个斗地主的,现在改名叫“PC斗地主微端”没用过,想试一下:



不料点击后出现了一个内嵌非常熟悉的认证页面:



很显然,这是某公司的认证页面嘛。这个简单,本人就是这个设备的管理员,还能自己把自己给限制了?于是就登陆AC找到自己的的账户,把自己隶属的策略全部删除再试。咦,居然还是要认证。
火了人了,我把自己的ip地址给加到全局排除列表里总行了吧?

再试!我晕!依然不行!难道是前几天升级AC那个数据分析商店给弄得?不应该啊,那个现在基本是个摆设,还没开始用呢。(顺便提一下,那个数据分析商店装完了怎么用?没人教我啊)

再次检查认证策略、上网策略、ip地址排除、排查抓包…… 均一无所获。
再或者浏览器有问题?电脑系统坏了?于是换了谷歌浏览器,问题依旧。换电脑测试,问题依旧!还让不让愉快斗地主了?

点击上图登陆按钮,并不能正常登录:



怎么认证就跑到这个地址去了呢?或者说访问这个地址怎么就去某公司认证去了呢?好奇怪啊!
用谷歌浏览器在这个认证内嵌页上右键选择“查看框架源代码”



发现网址栏是这样的:



把把个地址栏前面的部分删掉回车,试试,还真就是单独认证页面了,就不是内嵌式的了:



这说明这个app363.qzone.qzoneapp.com居然就是认证服务器的地址??
于是DNS解析看看:



卧槽,qq空间地址被解析成了1.1.1.1  ???有这事吗?真的吗?不信你就抓紧试一下。我得赶紧写这个分享,晚了说不定就变了。
我还是担心我的内部DNS服务器出了问题,于是换了一个ISP的线路和dns服务器再测试,结果仍然被解析成1.1.1.1  
不管了,这说明国际DNS服务器出了问题。但是也不至于出现某公司的认证页面啊!
把刚才那个页面的网址前半部分换成1.1.1.1再试,居然仍然是某公司的认证页面:



这个1.1.1.1是个什么鬼?访问以下试试:



看样子啥都不是。别急,前缀http换成https再试试,看样子有戏啊:



继续,看看这是什么?这是什么啊??这不是我的防火墙吗?与防火墙何干??



赶紧跟售后沟通:



问题到此基本明白了:QQ空间的域名解析不知为啥稀里糊涂就解析成了1.1.1.1,而这个地址恰恰是AF的内置缺省虚拟IP地址。

那问题来了,这个AF的虚拟IP是干嘛用的?为啥没有配置的地方?如果必须存在这么一个地址,干嘛不设计成跟AC似的可以自由配置?万一人家DNS不是犯神经病,人家就是要解析成1.1.1.1咋办?

这事后续400的同志们还会继续跟踪。我怕明天DNS就正常了,就赶紧发个共享让大家也见识一下这个怪事。后续要是国际DNS解析正常的话这事可能就这么过去了,如果长期不变,可能还得研发人员动动脑子了。谢谢400同志们的热情服务!

打赏鼓励作者,期待更多好文!

打赏
5人已打赏

北回归线 发表于 2016-12-13 19:38
  
原来如此,学习了!楼主写的真细致。
五花肉。 发表于 2016-12-13 19:39
  
Sangfor_闪电回_朱丽 发表于 2016-12-14 09:04
  
螺丝排查问题的时候,帅呆了~~~

1.1.1.1这个地址,对用户来说,是完全隐藏的,然而被你找到了~~~
有后续结果了,也期待回来分享,非常感谢!

这个必须要赞。。。
陈智强 发表于 2016-12-14 09:11
  
这个排查必须给个赞
周子超 发表于 2016-12-14 09:14
  
1.1.1.1这个IP很正常,例如我的思科交换机就有这个默认地址。在dhcp里面可以看到dhcp服务器ip地址就是1.1.1.1,某公司设备默认好像还有10.111.222.33这类特殊地址,vpn接口用的47.*.*.*的IP地址。这个和厂家设计有关,一般情况下不会冲突,不过不排除冲突的情况。
tyjhz 发表于 2016-12-14 09:15
  
这种问题排查步骤写的真不错,给32个赞
浪逐天涯 发表于 2016-12-14 09:16
  
学习了
Sangfor_小学生 发表于 2016-12-14 09:41
  
斗个地主也能写出这么给力的分享
基业傲腾_饶林瑞 发表于 2016-12-14 11:24
  
斗个地址都能斗出这么欢乐的事儿,哈哈哈!我真是被楼主的机智打败了~~

话说楼主排查问题的姿势真的是帅呆了~~

666不得不赞不得不赞啊!

发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
信服课堂视频
每周精选
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人