2022年,对于爱快(iKuai)路由系统本身网络活动的简单抓包分析

发布日期:分类:Linux & homelab 2022年,对于爱快(iKuai)路由系统本身网络活动的简单抓包分析无评论

iKuai路由系统,一个基于Linux的国产路由系统,特点是带有DPI流控并且免费,有一定审计功能,目前在国内似乎是除OpenWrt外最常用的软路由系统。

不过和部分其他的专用路由系统类似,iKuai本身相对封闭,不开放Linux shell,甚至rootfs也是加密的,在商业上这自然无可厚非,但iKuai系统在几年前曾被爆出有过劫持用户网络的DNS和HTTP请求用于广告盈利的行为,虽然据传言已被去除,但仍然令人担忧其“私货”。

所以这次,我将iKuai路由系统作为二级路由,连接到RouterOS主路由上。RouterOS有着方便的防火墙配置和抓包功能,可以设置filter进行抓包并保存到文件,然后导入Wireshark中查看。

所用iKuai系统为“免费版3.6.0 x64 Build202202101800 体验版”,与目前的3.5.4正式版在网络活动行为上应该区别不大。在iKuai中并未开启“爱快云”和SD-WAN功能,仅打开默认的自动更新,意味爱快自身着其除了“download.ikuai8.com”外,理应不去访问任何外网。

截止2022.02,iKuai系统在“爱快云”页面有一个隐私政策文档的链接,但其只描述了爱快云的隐私政策,并未说明在不使用“爱快云”的情况下iKuai路由系统本身会上传哪些信息。

DNS抓包

截取DNS请求是用于发现其试图访问哪些域名的方便方法,本次首先禁止了iKuai对除了“download.ikuai8.com”和114.114.114.114 DNS外的任何连接,然后截取了其开机几十分钟内的所有DNS请求:

经过整理,其查询的所有域名如下:

NTP服务,正常行为:
0.centos.pool.ntp.org
1.centos.pool.ntp.org
2.centos.pool.ntp.org
ntp.aliyun.com

软件更新,正常行为:
download.ikuai8.com

意义不明的名字,但IP与download.ikuai8.com相同:
302.ikuai8.com

爱快云:
yun.ikuai8.com.w.kunlungr.com (CNAME自 yun.ikuai8.com)

疑似使用情况上报,存在疑问(如:上传了哪些信息?):
report.ikuai8.com.w.kunluncan.com (CNAME自 report.ikuai8.com)

阿里云-日志服务SLS,存在疑问(如:上传了哪些信息?):
alpha-cloud-log.cn-hangzhou.log.aliyuncs.com

疑似阿里广告服务(友盟),存在疑问:
secgw-na61-na62.wagbridge.alibaba.alibabacorp.com (CNAME自 umdc.aliapp.org)

用途未知,存在疑问,对应IP都属于阿里的AS37963:
as1.ikuai8.com
as2.ikuai8.com
dis.ikuai8.com
pkgmanager.ikuai8.com

江苏电信的IP,疑似用于宽带加速服务,存在疑问:
fastgame.ikuai8.com

可能用于网络检测:
baidu.com
qq.com

注:以上为单次简单实验收集到的域名查询和个人的主观推测,不为其正确性负责,不做出任何评价。若官方或第三方能提供更多信息,欢迎在评论区留言。

在上级路由中使用的规则如下(192.168.88.2为iKuai的IP):

未完待续,等有空时准备进行一次全天抓包。

作者:WuSiYu

学生,Web开发者,智能硬件&IOT爱好者

发表评论

您的电子邮箱地址不会被公开。