【新闻+分析】Github在墙内遭到「中间人」攻击,京东同样受到影响。TLS翻墙可能被重点关注
新闻摘要:
完整新闻(墙内网站):
https://www. cnbeta.com/articles/tech/960295.htm
https://www.oschina.net/news/114402/git-mitm
——————————以下为分析部分——————————
oschina那条链接里的评论很清楚,高赞评论认为如此大规模的攻击并不只是“初学者”、“高中生”那么简单。
(当然了,评论里面某些深红码农的留言实在恶心,虽然他们不敢明着说,但还是阴阳怪气的攻击推墙者)
由于网络工程师对于这件事的看法会比普通用户和程序员更加看得透,由于程序员、网络工程师、两者技能均有的用户在V站数量众多,信息量大得多。因此我主要选取V站某些组某些贴作为分析来源。
知乎也有相关话题和分析,但灌水更多。
回到主题。
这次攻击有好几个重点:
由此可以推测:
已经有用户表示,想要这样做,BGP路由协议配合路由策略就行。但又有新的麻烦了:BGP协议几乎黑不进去。因为这也是个加密协议。
然而,墙内BGP在好几年前被要求换成国产加密算法,不排除该国产加密算法存在故意留下的后门。
显然,能够做到这些动作的只有运营商、GFW。由于三大运营商同时受到相同的影响,那么更大的可能性是来自于更高权限的地方——GFW。
(知乎 https://www.zhihu.com/question/382718053 里面也有人做了详细测试,并得到相同的结论——墙)
有用户推测,这个实验有可能是反翻墙的实验。
目前流行的翻墙方法之一,就是利用 HTTPS/TLS 掩护翻墙流量。如果GFW实验成功,意味着他们即将能够检查到用户的流量到底是属于普通的HTTPS浏览行为,还是用于翻墙的数据流。
另外,这个中间人攻击之所以会被察觉到,是因为浏览器跳出了提示。如果攻击者将假证书偷偷安装到用户的浏览器,那么就会导致使用者根本无法察觉,自己被卖了也不知道。
因此更为可怕的事情在于,如果各大国产浏览器被某神秘单位要求植入假证书,那么这些浏览器厂商是无法拒绝的。到了那个时候,哪怕用了HTTPS也一样等于裸奔。
题外话,就算没有神秘组织的压力,国产浏览器依然是毒瘤。996时期相关网站被国产浏览器自行屏蔽就是罪证之一。
V站话题来源:
v2etwitter.com/t/656642
v2etwitter.com/t/656582
v2etwitter.com/t/656394
————
更新:v2ray相对好一些,最新版可以避免中间人攻击,但一定要时刻更新最新版并将allowInsecure设置成false。
据蓝点网网友反馈,有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站。此次攻击很有可能是基于 DNS 系统或运营商层面发起的,目前受影响的主要是部分地区用户但涉及所有运营商。例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些站点并未出现异常情况。
大量用户无法正常访问京东和GitHub:
从目前网上查询的信息可以看到此次攻击涉及最广的是 GitHub.io,其次用户访问京东等国内知名网站亦会报错。查看证书信息可以发现这些网站的证书被攻击者使用的自签名证书代替,导致浏览器无法信任从而阻止用户访问。自签名证书显示证书的制作者昵称为心即山灵,这位心即山灵看起来就是此次攻击的始作俑者。所幸目前全网绝大多数网站都已经开启加密技术对抗劫持,因此用户访问会被阻止而不会被引导到钓鱼网站上去。如果网站没有采用加密安全链接的话可能会跳转到攻击者制作的钓鱼网站,若输入账号密码则可能会被直接盗取。
注 :此QQ号从此前某数据库里可检索出使用者为某校高中生,不过尚不清楚是高中在校生还是已经从该校毕业。
完整新闻(墙内网站):
https://www. cnbeta.com/articles/tech/960295.htm
https://www.oschina.net/news/114402/git-mitm
——————————以下为分析部分——————————
oschina那条链接里的评论很清楚,高赞评论认为如此大规模的攻击并不只是“初学者”、“高中生”那么简单。
(当然了,评论里面某些深红码农的留言实在恶心,虽然他们不敢明着说,但还是阴阳怪气的攻击推墙者)
由于网络工程师对于这件事的看法会比普通用户和程序员更加看得透,由于程序员、网络工程师、两者技能均有的用户在V站数量众多,信息量大得多。因此我主要选取V站某些组某些贴作为分析来源。
知乎也有相关话题和分析,但灌水更多。
回到主题。
这次攻击有好几个重点:
- 攻击用的证书有两个,第一个是QQ号的邮箱,第二个是手机号邮箱。
- DNS一切正常,并非DNS污染
- 仅443端口受影响,tcping该端口时延比80端口以及普通的icmp ping都要短
- 仅墙内受影响,墙外一切正常。
- 受到干扰的主要是各大云服务的IP地址,以及各CDN的IP地址
由此可以推测:
- 干扰SSL的设备位于墙内
- 影响范围之大,至少是省级层面的设备在“捣乱”
已经有用户表示,想要这样做,BGP路由协议配合路由策略就行。但又有新的麻烦了:BGP协议几乎黑不进去。因为这也是个加密协议。
然而,墙内BGP在好几年前被要求换成国产加密算法,不排除该国产加密算法存在故意留下的后门。
显然,能够做到这些动作的只有运营商、GFW。由于三大运营商同时受到相同的影响,那么更大的可能性是来自于更高权限的地方——GFW。
(知乎 https://www.zhihu.com/question/382718053 里面也有人做了详细测试,并得到相同的结论——墙)
有用户推测,这个实验有可能是反翻墙的实验。
目前流行的翻墙方法之一,就是利用 HTTPS/TLS 掩护翻墙流量。如果GFW实验成功,意味着他们即将能够检查到用户的流量到底是属于普通的HTTPS浏览行为,还是用于翻墙的数据流。
另外,这个中间人攻击之所以会被察觉到,是因为浏览器跳出了提示。如果攻击者将假证书偷偷安装到用户的浏览器,那么就会导致使用者根本无法察觉,自己被卖了也不知道。
因此更为可怕的事情在于,如果各大国产浏览器被某神秘单位要求植入假证书,那么这些浏览器厂商是无法拒绝的。到了那个时候,哪怕用了HTTPS也一样等于裸奔。
题外话,就算没有神秘组织的压力,国产浏览器依然是毒瘤。996时期相关网站被国产浏览器自行屏蔽就是罪证之一。
V站话题来源:
v2etwitter.com/t/656642
v2etwitter.com/t/656582
v2etwitter.com/t/656394
————
更新:v2ray相对好一些,最新版可以避免中间人攻击,但一定要时刻更新最新版并将allowInsecure设置成false。
27 个评论
这一步的逻辑跳跃有点大。。。为什么这个实验意味着墙可以检测出用户的流量?
那就以这个教程 https://pincong.rocks/article/15493 的方法,再配合尽量简单的说法来讲解
在这个教程中,翻墙流量是伪装成https流量的(https流量是一种经过了加密的数据流),外界只知道有这个网站的存在,墙也只知道有人访问了这个网站,但不知道访问网站的数据流中哪些是翻墙流量,哪些是正常浏览行为,因为墙没有密钥无法解密。只有https服务器才能正确区分,因为它有解密用的密钥,可以解密并获取正确的数据流。
这次墙的实验叫做“中间人攻击”,意思是,在用户不知情的情况下、偷偷地把用户的流量转发到某台代理服务器上,再由代理服务器向目标网站(这次攻击的目标是Github)发送数据。反之亦然。这台代理服务器就是“中间人”。
由于https加密解密需要使用一种叫做“证书”的东西,同时还有跟这个证书相关的两把钥匙(一把公用钥匙,解密用的,叫做公钥;一把仅供客户端和服务器端私下使用的钥匙,加密用的,叫做私钥)。
中间人可以解密来自Github的数据,但却无法以Github的名义再次加密数据并发送给用户,因为中间人没有加密用的Github私钥。那怎么办呢?只能自己造一张假证书,利用这张假证书加密数据再发回给用户。
反方向也一样。
于是,中间人不但知道Github发送了什么数据给用户,也很清楚用户发送了什么数据给Github
把“Github”字眼替换成翻墙用的服务器,答案就很清楚了吧?