以下是我用ThunderBird收取Gmail的过程，Gmail的POP3协议是要求SSL加密的。但是我抓包发现会话刚开始时Gmail的pop服务器TTL是236但是后来变成45了，最后又收到TTL为236的包但是有个标志是RST，我Ping了下Gmail的pop服务器，返回的TTL是236，我怀疑这中间是不是有SSL中间人攻击啊。请大家讨论一下。
附件是用Wireshark抓的包。

[ 本帖最后由 olo 于 2008-6-29 14:59 编辑 ]

收取邮件的时候是不是有提示邮件无法收取？？
有没有报错过或者其他什么提示信息？？

网络状况极差

没提示，一切都正常，你说的是包中有好多校验值错误是吧，其实都是正常的，我的是千兆网卡，为了减少负担，系统在添校验值的时候随便添的，校验值的计算交给了网卡，所以你看到大多数数据包的checksum不正确，正常的。
我把网卡的分载传输和接受校验和的功能去掉了又抓了个包，这下checksum由操作系统计算。

[ 本帖最后由 olo 于 2008-6-29 14:45 编辑 ]

恭喜你，得到中国国家网络防火墙（国家公共网络监控系统）的监控！

其实每位使用gmail的同志都会受到监控，在国内不同地域，访问gmail的ttl值变化步伐应该是基本一致的：
lz的ttl是236 to 45，我的ttl是242 to 51，前后值都是相差6，其它朋友也可以试试自己区域的ttl值变化。中间突然变化的ttl值的发出设备就是中国国家网络防火墙。
至于最后那个rst，估计是防火墙作为中间人冒充客户端改tcp－session时有什么东西没改好发给真正的gmail服务器，导致gmail服务器rst连接了。

中国国家网络防火墙的简介：
http://www.leasdy.com/blog/article.asp?id=348

[ 本帖最后由 gwdwx 于 2008-6-30 09:27 编辑 ]

看来又是GFW搞的鬼，现在上网没有隐私可言了，在技术上来看他完全有能力记录每位中国Gmail用户的密码，哎！

引用:

原帖由 gwdwx 于 2008-6-30 09:25 发表
恭喜你，得到中国国家网络防火墙（国家公共网络监控系统）的监控！

其实每位使用gmail的同志都会受到监控，在国内不同地域，访问gmail的ttl值变化步伐应该是基本一致的：
lz的ttl是236 to 45，我的ttl是242 to 5 ...

我也遇见过，我怎么就没想到是gfw搞鬼？？惭愧惭愧

引用:

原帖由 olo 于 2008-6-30 09:33 发表
看来又是GFW搞的鬼，现在上网没有隐私可言了，在技术上来看他完全有能力记录每位中国Gmail用户的密码，哎！

https解密
证书替换


签名
-----------
我只是在扯淡

引用:

原帖由 带脚镣跳舞 于 2008-7-1 11:50 发表

https解密
证书替换


签名
-----------
我只是在扯淡

是啊，好长时间了

[ 本帖最后由 olo 于 2008-7-1 13:56 编辑 ]

ssl也不是安全的，东软网站上有篇文章，在局域网里很方便ssl中间人。国家监控也未尝不可，安全第一，以前不是看到说美国有个小组专门监控全球的流量

中国GFW有没有这么高的技术水准啊，呵呵

不是我说什么，如果真的做SSL中间人攻击，那么GFW简直可以用猖獗这个单词来形容了。

没有细看，放在excel里大致看了看。我只是想让大家先理解，一般类似gmail这样的数据量，邮件服务架构会和你通常见到的不一样。SSL加密这种消耗cpu的操作会在前置的ssl专用加密集群里做，所以接收TCP连接的主机和SSL处理的系统可能并非同一系统，中间加密阶段被SSL加密机接管了，而邮件服务器本身还处在明文状态里，这样可以达到最优化的应用效果。 而Google又是云计算的宗师，说不定你的SSL被放在哪朵云里实现的，呵呵。

至于GFW，强调一下，大家可以确信一点，他们没有这个技术水准。

Vader老大，你的话很有道理，不知道其他地方怎么样，我这里用ThunderBird带附件的邮件非常慢，要比web方式下载附件慢很多，不过慢也不能说明问题，毕竟用ssl是要算的，gmail那边忙不过来也不一定，如果有在国外的朋友抓个包就好了，可以更好的判断问题。

引用:

原帖由 Vader 于 2008-7-1 23:06 发表
中国GFW有没有这么高的技术水准啊，呵呵

不是我说什么，如果真的做SSL中间人攻击，那么GFW简直可以用猖獗这个单词来形容了。

没有细看，放在excel里大致看了看。我只是想让大家先理解，一般类似gmail这样的数据 ...

同意

用到ＳＳＬ的　特别注意证书的变化　嘿嘿

我又扯淡了

嘿嘿，看了V大的话。我去web登录gmail发现个有趣的现象：打开gmail的web页面，先输入用户名的，再点击密码框，未输入密码且点击登录按钮时，抓包看到本地已经和gmail服务器进行ssl加密协商对话，如果一直不输入密码的话，等待几秒钟服务器发出FIN来断开连接。而我试了163的和hotmail的邮箱都是在输入用户名和密码并点击登录时，本地才会和邮件服务器进行ssl加密协商。哪位高人能解释下这个现象呢？这是google自己实现与其它邮件服务商的不同么？

今天在relakks.com上申请了个免费的vpn，连接后得到的ip是瑞典的，抓了个包，ttl值也是变化的。还真不是GFW搞的鬼。