【新闻+分析】Github在墙内遭到「中间人」攻击,京东同样受到影响。TLS翻墙可能被重点关注

新闻摘要:
据蓝点网网友反馈,有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站。此次攻击很有可能是基于 DNS 系统或运营商层面发起的,目前受影响的主要是部分地区用户但涉及所有运营商。例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些站点并未出现异常情况。


大量用户无法正常访问京东和GitHub:

从目前网上查询的信息可以看到此次攻击涉及最广的是 GitHub.io,其次用户访问京东等国内知名网站亦会报错。查看证书信息可以发现这些网站的证书被攻击者使用的自签名证书代替,导致浏览器无法信任从而阻止用户访问。自签名证书显示证书的制作者昵称为心即山灵,这位心即山灵看起来就是此次攻击的始作俑者。所幸目前全网绝大多数网站都已经开启加密技术对抗劫持,因此用户访问会被阻止而不会被引导到钓鱼网站上去。如果网站没有采用加密安全链接的话可能会跳转到攻击者制作的钓鱼网站,若输入账号密码则可能会被直接盗取。

注 :此QQ号从此前某数据库里可检索出使用者为某校高中生,不过尚不清楚是高中在校生还是已经从该校毕业。


完整新闻(墙内网站)
https://www. cnbeta.com/articles/tech/960295.htm
https://www.oschina.net/news/114402/git-mitm


——————————以下为分析部分——————————

oschina那条链接里的评论很清楚,高赞评论认为如此大规模的攻击并不只是“初学者”、“高中生”那么简单。
(当然了,评论里面某些深红码农的留言实在恶心,虽然他们不敢明着说,但还是阴阳怪气的攻击推墙者)

由于网络工程师对于这件事的看法会比普通用户和程序员更加看得透,由于程序员、网络工程师、两者技能均有的用户在V站数量众多,信息量大得多。因此我主要选取V站某些组某些贴作为分析来源。

知乎也有相关话题和分析,但灌水更多。

回到主题。

这次攻击有好几个重点:
  • 攻击用的证书有两个,第一个是QQ号的邮箱,第二个是手机号邮箱。
  • DNS一切正常,并非DNS污染
  • 仅443端口受影响,tcping该端口时延比80端口以及普通的icmp ping都要短
  • 仅墙内受影响,墙外一切正常。
  • 受到干扰的主要是各大云服务的IP地址,以及各CDN的IP地址


由此可以推测:
  • 干扰SSL的设备位于墙内
  • 影响范围之大,至少是省级层面的设备在“捣乱”


已经有用户表示,想要这样做,BGP路由协议配合路由策略就行。但又有新的麻烦了:BGP协议几乎黑不进去。因为这也是个加密协议。
然而,墙内BGP在好几年前被要求换成国产加密算法,不排除该国产加密算法存在故意留下的后门。

显然,能够做到这些动作的只有运营商、GFW。由于三大运营商同时受到相同的影响,那么更大的可能性是来自于更高权限的地方——GFW。

(知乎 https://www.zhihu.com/question/382718053 里面也有人做了详细测试,并得到相同的结论——墙)

有用户推测,这个实验有可能是反翻墙的实验。

目前流行的翻墙方法之一,就是利用 HTTPS/TLS 掩护翻墙流量。如果GFW实验成功,意味着他们即将能够检查到用户的流量到底是属于普通的HTTPS浏览行为,还是用于翻墙的数据流。

另外,这个中间人攻击之所以会被察觉到,是因为浏览器跳出了提示。如果攻击者将假证书偷偷安装到用户的浏览器,那么就会导致使用者根本无法察觉,自己被卖了也不知道。
因此更为可怕的事情在于,如果各大国产浏览器被某神秘单位要求植入假证书,那么这些浏览器厂商是无法拒绝的。到了那个时候,哪怕用了HTTPS也一样等于裸奔。

题外话,就算没有神秘组织的压力,国产浏览器依然是毒瘤。996时期相关网站被国产浏览器自行屏蔽就是罪证之一。


V站话题来源:
v2etwitter.com/t/656642
v2etwitter.com/t/656582
v2etwitter.com/t/656394

————
更新:v2ray相对好一些,最新版可以避免中间人攻击,但一定要时刻更新最新版并将allowInsecure设置成false。
19
分享 2020-03-28

27 个评论

这是浏览器的情况(这也是为什么会提到国产浏览器的原因)翻墙程序则是另一回事。Web + TLS + ...

V2Ray(客户端)会使用系统自带的根证书验证证书的合法性:
https://github.com/v2ray/discussion/issues/430

要发言请先登录注册

要发言请先登录注册