LIHKG遭Great Canon 攻击(非时效性)
https://www.solidot.org/story?sid=62860
似乎主要是证明了DDoS来源。
在 2015 年 GitHub 之后,LIHKG 成为最新一个遭到网络大炮攻击的网站。AT&T Cybersecurity 发表报告称,访问两个流行 JS 脚本 http://push.zhanzhang.baidu.com/push.js 和 http://js.passport.qihucdn.com/11.0.1.js 的请求有一定比例遭到劫持,被替换为恶意脚本向 LIHKG 发动 DDoS 攻击。如果这两个脚本地址使用了 HTTPS,那么劫持将不会发生。在今年 8 月的攻击高峰,LIHKG 的每小时请求数超过了 15 亿次。
似乎主要是证明了DDoS来源。
23 个评论
![](https://img.pincong.rocks/img/avatar/000/00/22/96_avatar_mid.jpg?juva)
Whose broad stripes and bright stars through the perilous fight,
O'er the ramparts we watched, were so gallantly streaming?
And the rockets' red glare, the bombs bursting in air,
Gave proof through the night that our flag was still there!
O'er the ramparts we watched, were so gallantly streaming?
And the rockets' red glare, the bombs bursting in air,
Gave proof through the night that our flag was still there!
![](https://img.pincong.rocks/img/avatar/000/00/22/96_avatar_mid.jpg?juva)
连登和品葱依旧岿然不动。
![](/static/common/avatar-mid-img.png)
已隐藏
充分说明了使用HTTPS的必要性,用了的话就不用担心大炮的劫持。
树大招风,没办法
弱弱的问一句网络大炮是啥
作为普通用户,可以做些什么,避免自己被绑架成攻击者呢?
在这种已知域名的情况下应该不访问这两个站就行了,但是GFW理论上有能力转化任何墙内访问去进行DDoS攻击,所以没什么好办法
编辑:看了一下发现不对,是访问js脚本的话……大概是只要网页引用了这两个脚本就会被利用。那可能更避无可避了。
作为普通用户,可以做些什么,避免自己被绑架成攻击者呢?
不要挂着全局代理访问国内网站,这样的流量会反向通过墙。不排除现在省级骨干网上面也部署了设备,可以装个浏览器扩展 -- HTTPS Everywhere,对支持的站点自动启用https。
除此之外无能为力
在这种已知域名的情况下应该不访问这两个站就行了,但是GFW理论上有能力转化任何墙内访问去进行DDoS...
沒用的,它根本不是在骨幹網 http 明文挾持,而是走 https 流量的一個會發佈給其他網站掛載的腳本,由百度和奇虎360(還叫自己網絡安全公司)官方替換掉,而且是只替換一部分宿主的,唯一能避過這些風險的方法就是只使用西方網站,除此以外別無他法。連登管理員當時做了一個報告,可以在這裡看到
https://lihkg.com/thread/1525319
百度站长推广和奇虎360CDN得背锅😂😂😂
沒用的,它根本不是在骨幹網 http 明文挾持,而是走 https 流量的一個會發佈給其他網站掛載的...
感谢科普~可是我发完很快就编辑了呀你是设置了延迟回复吗~
連登是真的厲害,差不多每秒都受攻擊還是很少倒下,我覺得公主大人,啊呸,不,是CIA應該放寬一下對品葱的撥款了。
感谢科普~可是我发完很快就编辑了呀你是设置了延迟回复吗~
可能我找資料沒有refresh吧
連登是真的厲害,差不多每秒都受攻擊還是很少倒下,我覺得公主大人,啊呸,不,是CIA應該放寬一下對品葱...
上星期遊行便倒下了,全靠 cloudflare 保護呢
禁用 JS 权限是否可行?
禁用js只會產生更多問題,網頁的動態內容基本只有js可以做(基本包括所有不需要刷新網頁的動作),例如之前品蔥的隨機水印就是js做出來的
比起禁用js,不如安裝強制https插件確保網頁不被竄改(前提該網站有使用https)
禁用js只會產生更多問題,網頁的動態內容基本只有js可以做(基本包括所有不需要刷新網頁的動作),例如...
当然,但我们知道NoScript默认禁用,根据需要在赋予适当的基础权限就好。
实际上很多网站相当臃肿,其中对基础功能的使用并不需要赋予全部网址权限。
尝试自己解码恶意代码