有攻击者正发动中间人攻击 GitHub和京东受影响最大

蓝点网 3 月 26 日晚间消息,据蓝点网网友反馈有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站。

  此次攻击很有可能是基于 DNS 系统或运营商层面发起的 ,  目前受影响的主要是部分地区用户但涉及所有运营商。

  更新:此次攻击似乎与路由广播有关通过骨干网络进行劫持 443 端口,目前经测试 DNS 系统解析是完全正常的。

  例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些站点并未出现异常情况。

  由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。

  从目前攻击情况来看此次发起攻击的黑客很可能是初学者,而攻击目的很有可能只是在测试但没想到规模如此大。

  关于 QQ 号主/攻击者的身份追踪信息:

  注 1 :此 QQ 从此前某数据库里可检索出使用者为某校高中生 ,不过尚不清楚是高中在校生还是已经从该校毕业

  注2:目前关于黑客身份还在多方追踪中尚未确定 ,至于是高中生还是已经毕业的学生或者其他身份暂时还未知

  注3:检索发现此 QQ 号主 1992 年已从某高中毕业,现在为某公司职员,据官网介绍该公司并没有流量相关业务。

  注4:据大佬们讨论此次攻击似乎是从骨干网络发起七层精准劫持 ,  能做到这种攻击的黑客看起来也不像初学者。

有攻击者正发动中间人攻击 GitHub和京东受影响最大

大量用户无法正常访问京东和 GitHub:

  从目前网上查询的信息可以看到此次攻击涉及最广的是 GitHub.io,其次用户访问京东等国内知名网站亦会报错。

  查看证书信息可以发现这些网站的证书被攻击者使用的自签名证书代替,导致浏览器无法信任从而阻止用户访问。

  自签名证书显示证书的制作者昵称为心即山灵 (QQ346608453),这位心即山灵看起来就是此次攻击的始作俑者。

  所幸目前全网绝大多数网站都已经开启加密技术对抗劫持,因此用户访问会被阻止而不会被引导到钓鱼网站上去。

  如果网站没有采用加密安全链接的话可能会跳转到攻击者制作的钓鱼网站,若输入账号密码则可能会被直接盗取。

有攻击者正发动中间人攻击 GitHub和京东受影响最大

攻击者可能是初学者正在进行测试:

  从攻击者自签名证书留下的这个扣扣号可以在网上搜寻到部分信息,信息显示此前这名攻击者正在学习加密技术。

  这名攻击者还曾在技术交流网站求助他人发送相关源代码,从已知信息判断攻击者可能是在学习后尝试发起攻击。

  但估计他也没想到这次攻击能涉及全国多个省市自治区的网络访问,而且此次攻击已经持续十个小时还没有恢复。

  另外从这名攻击者如此高调行事的风格来看也极有可能是初学者,毕竟此前尝试大规模劫持的还在牢里没出来呢

  更新下:上次大规模劫持的是 2013 年的事儿,几个主谋判了三年刑期(不过有缓刑的),那么应该早就出来了。

有攻击者正发动中间人攻击 GitHub和京东受影响最大
 被劫持的京东(图片来自 unixeno)

蓝点网部分节点测试情况:

  1. # 阿里云上海数据中心(BGP)
  2. curl -k -v https://z.github.io
  3. * Connected to z.github.io (185.199.108.153) port 443 (#0)
  4. * SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256
  5. * ALPN, server did not agree to a protocol
  6. * Server certificate:
  7. * subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; emailAddress=346608453@qq.com* start date: Sep 26 09:33:13 2019 GMT
  8. * expire date: Sep 23 09:33:13 2029 GMT
  9. * issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; emailAddress=346608453@qq.com* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
  10. > GET / HTTP/1.1
  11. > Host: z.github.io
  12. > User-Agent: curl/7.52.1
  13. > Accept: */*
  14. # 群英网络镇江数据中心(电信)
  15. curl -k -v https://z.github.io
  16. * About to connect () to z.github.io port 443 (#0)
  17. * Trying 185.199.110.153…
  18. * Connected to z.github.io (185.199.110.153) port 443 (#0)
  19. * Initializing NSS with certpath: sql:/etc/pki/nssdb
  20. * skipping SSL peer certificate verification
  21. * SSL connection using TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  22. * Server certificate:
  23. * subject: E=346608453@qq.com,CN=SERVER,OU=NSP,O=COM,L=SZ,ST=GD,C=CN
  24. * start date: Sep 26 09:33:13 2019 GMT
  25. * expire date: Sep 23 09:33:13 2029 GMT
  26. * common name: SERVER
  27. * issuer: E=346608453@qq.com,CN=CA,OU=NSP,O=COM,L=SZ,ST=GD,C=CN
  28. > GET / HTTP/1.1
  29. > User-Agent: curl/7.29.0
  30. > Host: z.github.io
  31. > Accept: */*
  32. # 华为云香港数据中心(以下为正常连接的证书信息第 44 行)
  33. curl -k -v https://z.github.io
  34. * Rebuilt URL to: https://z.github.io/
  35. * Trying 185.199.108.153…
  36. * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
  37. * ALPN, server accepted to use h2
  38. * Server certificate:
  39. * subject: C=US; ST=California; L=San Francisco; O=GitHub, Inc.; CN=www.github.com
  40. * start date: Jun 27 00:00:00 2018 GMT
  41. * expire date: Jun 20 12:00:00 2020 GMT
  42. * issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=DigiCert SHA2 High Assurance Server CA
  43. * SSL certificate verify ok.
  44. * Using HTTP2, server supports multi-use
  45. * Connection state changed (HTTP/2 confirmed)
  46. * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
  47. * Using Stream ID: 1 (easy handle 0x556d826f6ea0)
  48. > GET / HTTP/1.1
  49. > Host: z.github.io
  50. > User-Agent: curl/7.52.1
  51. > Accept: */*

来自: www.landiannews.com

原文出处:博客园【 itwriter】

原文链接:https://news.cnblogs.com/n/658481/

本文观点不代表Dotnet9立场,转载请联系原作者。

发表评论

登录后才能评论