iPhone緊急警示提示xx公安局提醒youtube是詐騙網站請問是什麼情況

[reply2future]

背景

最近用iPhone看youtube app的時候，突然間來了個緊急警示提示xx公安局提醒youtube是詐騙網站，而這個剛好是當地的公安局；當日早些時候，我看youtube給我投送的廣告是中文的，講國語還粵語忘記了，但是我使用的ip是美國的。

配置參數

網絡拓扑

客戶端

{
  "log": {
    "loglevel": "warning",
    "error": "/var/log/xray/error.log",
    "access": "/var/log/xray/access.log",
    "dnsLog": false
  },
  "inbounds": [
    {
      "tag": "all-in",
      "port": 12345,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls", "quic"]
      },
      "streamSettings": {
        "sockopt": {
          "tproxy": "tproxy"
        }
      }
    },
    {
      "tag": "socks-in",
      "port": 10808,
      "protocol": "socks",
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls", "quic"]
      },
      "settings": {
        "auth": "noauth",
        "udp": true
      }
    }
  ],
  "outbounds": [
    {
      "tag": "direct",
      "protocol": "freedom",
      "settings": {
        "domainStrategy": "UseIP"
      },
      "streamSettings": {
        "sockopt": {
          "mark": 255
        }
      }
    },
    {
      "tag": "proxy",
      "protocol": "vmess",
      "settings": {
        "vnext": [
          {
            "address": "vpn.domain",
            "port": 19191,
            "users": [
              {
                "id": "xxxxxx-xxxx-xxxx-xxxx-xxxx",
		"alterId": 0,
                "encryption": "auto"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "none",
        "sockopt": {
          "mark": 255
        }
      }
    },
    {
      "tag": "block",
      "protocol": "blackhole",
      "settings": {
        "response": {
          "type": "http"
        }
      }
    },
    {
      "tag": "dns-out",
      "protocol": "dns",
      "streamSettings": {
        "sockopt": {
          "mark": 255
        }
      }
    }
  ],
  "dns": {
    "hosts": {
      "domain:googleapis.cn": "googleapis.com",
      "dns.google": "8.8.8.8",
      "doh.pub": "120.53.53.53",
      "dns.alidns.com": "223.5.5.5"
    },
    "servers": [
      "https://dns.google/dns-query",
      {
        "address": "https://doh.pub/dns-query",
        "domains": ["geosite:cn", "vpn.domain"],
        "skipFallback": true
      },
      {
        "address": "https://dns.alidns.com/dns-query",
        "domains": ["geosite:cn", "vpn.domain"],
        "skipFallback": true
      }
    ]
  },
  "routing": {
    "domainMatcher": "mph",
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      {
        "type": "field",
        "domain": ["geosite:category-ads-all"],
        "outboundTag": "block"
      },
      {
        "type": "field",
        "inboundTag": ["all-in"],
        "port": 123,
        "network": "udp",
        "outboundTag": "direct"
      },
      {
        "type": "field",
        "inboundTag": ["all-in"],
        "port": 53,
        "network": "udp",
        "outboundTag": "dns-out"
      },
      {
        "type": "field",
        "ip": ["223.5.5.5"],
        "outboundTag": "direct"
      },
      {
        "type": "field",
        "outboundTag": "direct",
        "protocol": ["bittorrent"]
      },
      {
        "type": "field",
        "ip": ["geoip:private", "geoip:cn"],
        "outboundTag": "direct"
      },
      {
        "type": "field",
        "domain": ["geosite:cn"],
        "outboundTag": "direct"
      },
      {
        "type": "field",
	"inboundTag": ["socks-in"],
        "outboundTag": "proxy"
      },
      {
        "type": "field",
        "ip": ["1.1.1.1", "8.8.8.8"],
        "outboundTag": "proxy"
      },
      {
        "type": "field",
        "ip": ["geoip:telegram"],
        "outboundTag": "proxy"
      },
      {
        "type": "field",
        "domain": [
          "geosite:geolocation-!cn",
          "domain:googleapis.cn",
          "dns.google"
        ],
        "outboundTag": "proxy"
      },
      {
        "type": "field",
        "domain": [
          "joinpeertube.org",
          "myunidays.com"
        ],
        "outboundTag": "proxy"
      }
    ]
  }
}

基本按照 透明代理（TProxy）配置教程 操作，使用 nftables

伺服器

使用justmysocks提供的服務，
v2ray Transport：TCP

猜想

1. 因為justmysocks提供域名，所以上面配置dns的時候我沒有寫死伺服器地址，而是使用阿里或騰訊的dns去解釋vpn.domain，是不是這個環節出現了問題？
2. dns泄露？
3. 因為上面的配置是國內優先的，所以youtube有地址直接走國內了？

[reply2future]

目前暫時改成代理優先的策略，並且vpn域名改成ip，觀察一段時間看看

[blusewang]

使用谷歌的DNS应该更安全

[reply2future]

默認和國外的域名都是優先使用谷歌的DNS的，國內就用阿里騰訊的DNS

"servers": [
      "https://dns.google/dns-query",
      {
        "address": "https://doh.pub/dns-query",
        "domains": ["geosite:cn", "vpn.domain"],
        "skipFallback": true
      },
      {
        "address": "https://dns.alidns.com/dns-query",
        "domains": ["geosite:cn", "vpn.domain"],
        "skipFallback": true
      }
    ]

[kilvn]

谷歌 dns 太慢了，用 1.1.1.1 吧

[RPRX]

报 YouTube 似乎是新情况，今天 Project X 群里有两张安卓的截图：https://t.me/projectXray/2476790 ，https://t.me/projectXray/2476819

两张安卓的截图

分析你的情况：

1. 从你的配置来看，通向 UDP/53 端口的流量会被路由至 DNS 出站，但有两处小坑：一，由于 FullCone，如果第一个包已被路由，相同来源二元组的后续包也会跟着，不活跃清理约为五分钟，但 YouTube APP 即使复用端口，路由也都非 direct，有可能是它的 DNS 撞上了已被路由为 direct 的来源二元组，但概率极低，下个版本会对目标为 UDP/53 端口的流量强制 Symmetric。二，DNS 出站会直接放行非 A / AAAA 的查询，需分析 YouTube APP 是否有此类查询，同样，下个版本我打算改成默认拦截非 A / AAAA 的查询，加选项放行。
2. 你使用的是裸 VMess，其实 GFW 拿到你的客户端配置就能解密，详见 警惕 SNI 白名单地区隐蔽的大规模“降级攻击” / Watch out for hidden mass "downgrade attacks" in SNI whitelisted areas net4people/bbs#254 ，手机最易泄露，我猜你的手机上有节点信息。若有人使用裸 SS / VMess，电脑设代理模式（无需预查 DNS），手机有节点信息但不用，若仍收到短信，大概率是流量被解密或分析了。
3. 安卓的第二张截图显示的是反诈，有可能是反诈直接把他手机访问的域名给上传了，不过国行 iPhone 有没有内置反诈？需要调查。其实针对“反诈”，也应当做 GeoSite 和 GeoIP，但若把它 block 了，它是能发现的。最好是不购买、使用内置反诈的手机，应当拉个清单。

[lhbdhr]

既然是透明代理的话，那应该是抓路由器向外发出的DNS请求吧？
另外透明代理模式好像就是会造成DNS泄露。好像需要特殊的配置才能防止DNS泄露。

[reply2future]

我設置的方式是在路由器DHCP options:

6,192.168.1.188
3,192.168.1.188

所有的連接設備應該都會用上面這個作為DNS解釋吧？至少我看手機和電腦的DNS都是自動分配成這個透明網關ip了。

不過我也按照你的思路看下

[RPRX]

https://t.me/xhqcankao/5022 这条消息的讨论区有三张新的截图：https://t.me/xhqcankao/5022?comment=312741 ，https://t.me/xhqcankao/5022?comment=312774 ，https://t.me/xhqcankao/5022?comment=313513

Flyme（珠海）、iOS（从化）、iOS（越秀），非 YouTube，不过这种提醒只在广东有？

总共五张截图中只有第一张是 YouTube，我比较关心他是什么协议组合，麻烦 Anshi 问一下 wkl，该不会我又拿到了一张预言家的牌。
GFW 没封 @reply2future 的裸 VMess 也挺扎眼的，因为 GFW 肯定有 justmysocks 的 IP 数据库，看起来像是 #1811 (comment) 。

Xray-core v1.8.3 把 DNS 出站的行为改成了默认丢弃非 IP 查询，我觉得本来就应该这样，基本上不会影响上网，以前的行为挺坑的。
对目标为 UDP/53、443 的流量强制 Symmetric 路由，我想了想不妥，因为打洞时对方可以骗出你的本地 IP，必须先识别一下协议。
所以 v1.8.3 先把 UDP 不活跃超时减至了两分钟，进一步降低了不同程序因为先后占了同一个来源二元组而不小心“偷路由”的概率。

@nursery01 说的“WiFi 切到移动数据”也是有可能的，这个也属于“识别你，与协议无关”系列，这方面我有很多杀手锏，下半年实装。
我还看到有人说这种提醒只有用数据网络才有（未经证实），不过有一个矛盾点：这种漏的人肯定很多，为什么收到短信的人却很少？

[nursery01]

这个也属于“识别你，与协议无关”系列，这方面我有很多杀手锏，下半年实装。

通過旁路的方式識別，我也有很多方法，你的殺手鐧的牌估計沒我的識別的牌多

[RPRX]

通過旁路的方式識別，我也有很多方法，你的殺手鐧的牌估計沒我的識別的牌多

还是太年轻

[nursery01]

我看你是在路由器上建立代理

額外補充兩點

iphone如果開啟背景app自動整理，當你關閉wifi(連著代理)，切換成行動服務(無代理)的時候，youtube app可能會發起查詢，這時候行動isp就可以把這個信息上報給條子，然後你就會收到條子的訊息

以及，即使你關閉背景app自動整理，然後在代理關閉後才關閉youtube app，這種情況也有可能會產生洩漏，關閉youtube app一定要在關閉代理之前執行

[katayaburi]

所以我都是在关闭代理APP之前都把所有使用外网的APP杀了再关闭

[reply2future]

感謝建議。

我想過是不是可以有觸發器的script可以在iOS上面運行，檢測到網絡變化就完全關閉相關app。可能比較難在iOS上或者說未越獄的系統上。

[MFWT]

感謝建議。

我想過是不是可以有觸發器的script可以在iOS上面運行，檢測到網絡變化就完全關閉相關app。可能比較難在iOS上或者說未越獄的系統上。

商业VPN（比如很多国外的那种，用原生VPN协议（OpenVPN）之类的）会有个Kill Switch，就是当VPN意外断开后（比如网络变化）切断本机网络，不确定有没有第三方开源实现

[reply2future]

不過Kill Switch 自斷網絡的做法不太適合，我只是想部分app失效而不是所有的，但是這個在iOS上面基本不可能。

[70599]

没见过iPhone会这样，请问緊急警示提示是什么？
是这样的通知吗？
有截图之类的更详细的信息吗？

[reply2future]

官方說明，大概的樣子如下：

[xqzr]

[MFWT]

如楼上所说，我感觉问题可能还是出在非A/AAAA的DNS泄露上

毕竟如果没有曾经泄露过连接信息（即使有，我个人感觉也不太可能用来单独追踪你，因为，毕竟，有点大材小用了）的话，DNS是成本最低且效果最好的能知道你在访问什么网站的（SNI/Host之类的仅限于HTTP(S)请求，某种意义上来说不如检测DNS请求来的全面）

建议，如果是装在路由器/网关上，配合其他DNS分流软件（比如SmartDNS之类的）使用比较好

[reply2future]

感謝建議。我去找相關資料看下

[chika0801]

看了楼上所说，和看了下你客户端配置中的这段，觉得 @MFWT 所说的 出在非A/AAAA的DNS泄露上 有理

    {
      "tag": "dns-out",
      "protocol": "dns",
      "streamSettings": {
        "sockopt": {
          "mark": 255
        }
      }
    }

https://guide.v2fly.org/basics/dns.html#%E5%AF%B9%E5%A4%96%E5%BC%80%E6%94%BE-v2ray-%E7%9A%84-dns-%E6%9C%8D%E5%8A%A1

然而，这样配置存在一定问题。对于非Type A和Type AAAA的 DNS 查询，v2ray 将会直连转发至dns-in中所设置的目标 DNS 服务器。而当这个域名被污染时，返回的自然是被污染的结果；如果希望 v2ray 内置 DNS 承担 DNSCrypt-Proxy 的作用，这样无疑会导致 DNS 查询内容的泄露。

这段参考上面链接你看看了。

            "proxySettings": { 
                "tag": "remote-proxy-out"
            }

[reply2future]

這樣設置也有問題，如果remote-proxy-out有問題了，整個網絡都不可用了。

[nursery01]

如果真的是非A/AAAA查詢洩漏，我有個疑問是為什麼YouTube app要進行非A/AAAA查詢？因為沒必要使用非A/AAAA查詢，即使YouTube app使用quic需要進行傳送，需要用非A/AAAA查詢的情況下也不會導致洩漏

非A/AAAA查詢會導致洩漏，但是我給出的猜想是YouTube app是非A/AAAA查詢造成洩漏的概率很低

[chika0801]

猜是youtube有些域名指向的值是cname。我没去看过日志，你有兴趣可试试。

[nursery01]

然而youtube並沒有使用cname，它這個紀錄是空的

[nursery01]

其實rprx原話並沒有一口咬定就是非A/AAAA洩漏，他原話說的很謹慎，但是下方是有人說了是非A/AAAA洩漏，所以我就提出了一個疑問，為什麼它用了非A/AAAA查詢？

[chika0801]

那就不知道了，我们也只是帮楼主猜。从楼主发的配置来看，他的树莓派上用Xray处理DNS，就是 非A AAAA 配置 那段有点问题。

[chika0801]

突然想到 tproxy 搜了下是不支持UDP流量的。

即使YouTube app使用quic需要進行傳送

看到你在提这点。猜可能有关吧。

[lhbdhr]

我想到一个可能性,你客户端设置的第一个outbound不应该填freedom啊,
routing没匹配到的流量这不是都走Direct了嘛

[reply2future]

確實有這個可能，所以我當時就馬上改了