🔴 ترامپ: ما ناوگان عظیمی داریم که به سمت ایران در حال حرکت هستند!

خب نفسی تازه کنیم و بریم که دوباره قطعی داشته باشیم.

برای وصل کردن نت، باید صد نفر نظر بدند؛ اما برای قطع کردن، کافیه رئیس اتحادیهٔ کامپیوترهای اینتل پنتیوم وان نظر بده تا اینترنت رو ببندند.

الان یه عده میگن نت رو بستن که استارلینکاشون فروش بره؛ از فردا هم میشه بحث ثابت تاکسی‌ها.

وضعیت کانکشن ها - ۳ بهمن

Rightel:
Fastly CDN ✅
CloudFlare CDN ❌
⚠️ قطعی در بعضی محدوده و مناطق کشور

MCI:
Direct Reality ✅
⚠️ قطعی در بعضی محدوده و مناطق کشور

MTN:
Fastly CDN ✅

TCI:
❌


توجه کنید که این صرفا تست هاییه که من انجام دادم و با توجه شرایط الان منطقه به منطقه و شهر به شهر شرایط متفاوته

اونایی که کانفیگ «مخصوص نت ملی» میفروختن، امیدوارم توجیه شده باشن و دفعه دیگه از این کارا نکنن.

اگه از پنل 3x-ui استفاده میکنید و میخواید روز و حجم بصورت تعداد بالا به اکانت ها اضافه کنید، این اسکریپت به کارتون میاد:

https://github.com/Sir-MmD/bulk3x

میگن به دلیل مشکلات فنی نمی‌تونیم نت بین‌الملل رو وصل کنیم. به عبارتی چنان گند زدن توی فایروال که بلد نیستن چجوری درست میشه.

وزیر ارتباطات: در حال رایزنی با کوسه‌های خلیج فارس هستیم که یه لحظه لطف کنند کابل‌ها را نخورند تا بتونیم اینترنت رو وصل کنیم.

روزنامه کیهان جوری با وصل شدن اینترنت مخالفت کرده انگار شریعتمداری پفیوز داره خرج نت و بسته ما رو میده.

کارشناس کلادفلر:
اوایل ایرانی‌ها از CDN ما به‌عنوان پروکسی استفاده می‌کردند و ما هم آن را زیر نظر داشتیم. اما بعدتر فهمیدیم مردم ایران از هر راه و ترفندی برای دسترسی به اینترنت استفاده می‌کنند. حتی حالا که طبق رادار، ترافیک ایران به ۱ درصد گذشته رسیده، باز هم حدود ۵۰ درصد مردم آنلاین هستند. جالب‌تر اینکه یکی از کارشناسان هم با استاد آقاپور در ارتباط بود و او عملاً همه متود‌ها را بلد است و فهمیدیم ما توانایی مقابله با دانش او را نداریم. همین شد که در نهایت قیدش را زدیم و CDN را برای پروکسی آزاد گذاشتیم.

در تایید سخنان کارشناس کلادفلر

گاهی اوقات زیرساخت شبکه (ISP، دیتاسنتر، فایروال سازمانی و …) میاد یواشکی ترافیکت رو ریدایرکت می‌کنه!
مثلاً تو فکر می‌کنی داری به DNS گوگل (8.8.8.8) وصل می‌شی،
ولی پشت صحنه، ترافیکت رو می‌فرستن به یه DNS داخلی خودشون.

به این کار می‌گن:
DNS Manipulation
یا
Transparent Redirection

یعنی:

تو فکر می‌کنی رفتی گوگل، ولی عملاً رفتی یه سرور داخلی وصل شدی!

و مهم‌تر:
❗️ این بلا فقط سر DNS نمیاد، برای هر آیپی دیگه‌ای ممکنه اتفاق بیفته.

🤔 خب از کجا بفهمیم گولمون زدن یا نه؟

برای DNS گوگل، ساده‌ترین تست اینه 👇

traceroute -I 8.8.8.8

(گزینه -I یعنی با ICMP تست کن، نه UDP — دقیق‌تره)

خروجی نمونه:

 1  192.168.70.1
 2  *
 3  10.195.23.193
 ...
13  dns.google (8.8.8.8)

🤔 حالا دنبال چی باید بگردیم؟

اگر کسی داره ترافیکتو دستکاری می‌کنه، معمولاً این نشونه‌ها رو می‌بینی:

🚩 نشانه‌های دستکاری (Redirection)

* مسیر بعد از چند hop داخلی تموم می‌شه.
* به IP خصوصی (10.x.x.x`، `192.168.x.x) ختم می‌شه.
* آخرین hop که جواب می‌ده متعلق به گوگل نیست.
* و این که RTT خیلی کمه یعنی سرور سریع‌تر از معمول پاسخ داده. (غیرطبیعی)


🤔 چرا این خروجی نشون می‌ده واقعاً وصل شدیم به گوگل؟

بیایم منطقی نگاه کنیم 👇

1️⃣ اول این‌که RTT منطقیه.

~80 تا 100 میلی‌ثانیه

اگر DNS داخلی بود:

5 تا 20 میلی‌ثانیه

می‌دیدی پس اینجا احتمالاً واقعاً خارج از شبکه‌ست.

2️⃣ تعداد hopها زیاده (13 hop)

این یعنی:

* مسیر واقعاً رفته اینترنت.
* از چند تا AS و روتر عبور کرده.

در حالت دستکاری:

* معمولاً ۳ تا ۶ hop.
* یا خیلی زود تموم می‌شه.


3️⃣ و hop آخر داخلی نیست.

اگر ISP داشت کلک می‌زد:

* ساده است:‌ hop آخر یه IP داخلی بود.
* یا TTL عجیب‌غریب می‌دیدی. (دقت کنید برای گوگل بسته به مسیر بین ۱۱۵ تا ۱۲۰ هست)
* یا ICMP Proxy جواب می‌داد.

اینجا این اتفاق نیفتاده.

4️⃣ در پایان Reverse DNS واقعی داریم.

dns.google

در DNS جعلی معمولاً:

* ریورس DNS نداره.
* یا یه اسم مسخره‌ی داخلی داره.
* یا اصلاً هیچی برنمی‌گردونه.


خب خب به پایان مطلب رسیدیم ولی همینجا تموم نمیشه. چون ممکنه بهمون کلک بزنن و یه اتفاق دیگه رخ بده 😁😁

🤔 سوال:‌ یعنی ممکنه تست ICMP اوکی باشه ولی هم چنان Query ها به ریزالور داخلی ریدایرکت بشه؟

بله. اصلا این دو تا ربطی به هم ندارند و در عمل رایجه که:

پاسخ ICMP (ping / traceroute) کاملاً سالم و واقعی باشه.
اما DNS (UDP/TCP روی پورت 53) به Resolver داخلی هدایت شود.

این کاری که ما در بالا انجام دادیم فقط میگه که «پکت‌های ICMP به 8.8.8.8 واقعاً به Google می‌رسند.»
اما DNS hijacking معمولاً این‌گونه پیاده‌سازی نمی‌شه و اصلا روی مسیر ICMP نیست.

پس زیرساخت می‌تونه بگه:
«به ICMP دست نزن،
ولی هرچی DNS بود بفرست به Resolver خودم.»

ممکنه زیرساخت شبکه دستکاری‌های مختلفی انجام بده. مثلا:

* فقط ترافیک DNS رو روی پورت ۵۳ دستکاری کنه و پکت های ICMP رو کاری نداشته باشه. (UDP/53 Interception)
* تمام Query ها رو به ریزالور داخلی منتقل کنه و Source IP پاسخ رو هم 8.8.8.8 بذاره. (Transparent DNS Proxy)
* دامنه های خاص پاسخ جعلی بگیرند و بقیه دامنه ها رو کاری نداشته باشه. (Redirect Injection)

🤔 حالا چجوری بفهمیم واقعا پاسخی که میگیریم واقعا از گوگل هست؟

یه تست ساده داریم:

dig @8.8.8.8 whoami.cloudflare CH TXT

اگه پاسخ گرفتی → hijack
اگر SERVFAIL / REFUSED گرفتی → کاملاً سالم

🤔 چرا whoami.cloudflare CH TXT؟
چون این رکورد:
فقط توسط Resolver خود Cloudflare پشتیبانی می‌شه. (CH جز اطلاعات خاص خود ریزالور هست.)
کلا Google DNS اون رو نمی‌تونه resolve کنه.

بنابراین:
پاسخ صحیح از Google = SERVFAIL
پاسخ از Resolver داخلی یا Proxy = یک TXT رکورد جعلی


در پایان خود کلادفلر روی CH TXT میاد آیپی واقعی رو برمیگردونه.

DOMAIN                    LOSS       AVG RTT
------                    ----       -------
google.com                0.0%       194.080      ms
apple.com                 0.0%       116.667      ms
wikipedia.org             0.0%       115.222      ms
github.com                0.0%       113.974      ms
pinterest.com             50.0%      110.634      ms
baidu.com                 0.0%       369.765      ms
spotify.com               0.0%       82.460       ms
nytimes.com               0.0%       149.442      ms
mozilla.org               0.0%       79.383       ms
ubuntu.com                0.0%       103.546      ms
fedora.com                0.0%       132.419      ms
opensuse.org              0.0%       113.754      ms
linode.com                0.0%       68.431       ms
azure.microsoft.com       0.0%       85.204       ms
cloud.google.com          0.0%       201.204      ms
skype.com                 0.0%       366.645      ms
wordpress.org             0.0%       228.255      ms
wix.com                   0.0%       172.488      ms
protonmail.com            0.0%       131.071      ms
zoho.com                  0.0%       361.760      ms
outlook.com               0.0%       276.299      ms
yahoo.com                 0.0%       241.938      ms
mail.ru                   0.0%       156.660      ms
baidu.com                 0.0%       362.311      ms
sina.com                  0.0%       283.434      ms

حدود صد تا دامنه معروف روی ایرانسل تست کردم. از عجایب دنیا اینه که دامنه‌های بالا توی وضعیت فعلی روی ایرانسل پینگ میدن! 😂

pinterest.com -> Fastly
nytimes.com -> Fastly

این دو دامنه روی Fastly هستند. 😉

افراد گروه دو دسته شدن:‌ نصفشون روی عرشه ناو آبراهام لینکن دارن اخبار جنگ رو پوشش میدن، نصفشون هم توی زیرساخت کار میکنن و در جریان تاریخ وصل شدن اینترنت هستند.

اینا تو اداره ساده‌ترین امور کشور موندن و هنوز درگیر تأمین مرغ و گوشت و روغنن؛ بعد ما انتظار داریم موضوع اینترنت براشون دغدغه باشه.

همش دم از تأمین معیشت مردم می‌زنن، ولی همین تصمیم‌های غلط و نابخردی‌هاشون معیشت مردم رو نابود کرده! آنلاین‌شاپ‌ها، تدریس آنلاین، دورکاری، استریم و کلی کار دیگه نابود شده. درآمد خیلی‌ها از همین اینترنتی بود که بیش از ۱۸ روزه قطع شده.