【科普】厉害国的“大炮”网络攻击工具
大炮(英语:Great Cannon)是中华人民共和国的网络攻击工具的名称,借由拦截大量网络流量,对特定目标网站发动分布式拒绝服务攻击(DDoS)。[sup][1][/sup][sup][2][/sup][sup][3][/sup]其中除了网络攻击,还曾对翻墙技术讨论网站进行攻击,阻止相关加密技术交流开发。
主要技术
根据命名大炮的加拿大学者表示,大炮将从中国以外的连线流量导到特定的目标网站,导致目标网站网络服务不稳。虽然大炮跟防火长城一起,但大炮是分开的攻击系统,拥有不同的设计和功用。[sup][4][/sup]除了发起分布式拒绝服务攻击以外,大炮还能监控网络流量,以及采用类似美国国安局的量子注入系统(Quantum insert system),对目标散布恶意程序。
大炮发起的攻击
大炮的第一个目标可能是存储避开网络审查工具的网站,像是在线源代码存储网站GitHub,以及监控中国防火长城屏蔽现况的GreatFire网站。[sup][7][/sup]多次技术报告显示,发动对GitHub和GreatFire的攻击的方式是通过向百度注入恶意的JavaScript(简称JS)代码以使从中国大陆以外访问百度网站及广告的流量转换为DDoS攻击发送至目标。[sup][8][/sup]
针对Github
2015年3月26日至31日借由旁观者攻击(英语:Man-on-the-side attack)技术对GitHub发起的网络攻击,被认为是大炮的第一次重要应用。
第三方研究者指出,此次攻击采用了HTTP劫持,百度的JS脚本文件被中间人植入了攻击GitHub的代码,其功能是每隔2秒加载一次GreatFire或纽约时报中文网的账号主页。[sup][9][/sup]百度已否认自身产品存在安全问题。[sup][10][/sup]。这次攻击导致GitHub在全球范围内的访问速度下降。[sup][11][/sup]外界普遍相信这是中国政府所为,但中国政府予以否认。[sup][12][/sup] [sup][13][/sup] 3月28日(UTC+8)起,GitHub在中国大陆十分不稳定,多数情况下无法访问。[sup][14][/sup]截止29日,攻击者共使用了四种DDoS攻击技术:
根据系统状态消息页面的显示,已于3月31日停止了网络攻击,该日凌晨0:09(UTC)已经稳定。GitHub在其Twitter与微博予以了证实。至此,此网络攻击共持续了五天。
其他
2015年4月26日,大炮对开放源代码网站wpkg.org与旅游网站ptraveler.com发动了攻击,凡是用中国IP浏览嵌入了Facebook Connect按钮脚本的网站,皆会被重定向至这两个网站。
2017年8月16日,大炮被发现攻击曾经邀请中国海外流亡富豪郭文贵做访谈的异议新闻站点明镜网,大炮通过对百度站长统计的脚本代码注入攻击明镜网的代码。
2019年12月初,美国网络服务提供商AT&T公司下属的网络安全实验室发表研究报告指出,自11月25日起,“大炮”被重新部署以攻击被认为与香港反对逃犯条例修订草案运动有关的网络论坛LIHKG讨论区及多个其它意义不明的网络目标。该报道亦提及,早在8月31日,“大炮”就曾对LIHKG讨论区发起攻击。而有关程序代码与2017年明镜新闻网所受攻击中的代码极为相似。[sup][22][/sup]
如何认定与中国政府有关
使用Traceroute追踪TTL来证明中国政府对GitHub发动攻击
为了防止数据在网络中无限循环,名为存活时间(Time to live,TTL)的机制限定了数据包的寿命。从数据包发出开始,每经过一个路由,TTL就减去1,当TTL=0时数据包将会被丢弃。大多数系统发送数据包时都是从TTL=64开始,如果该数据包抵达时TTL=24,那么计算机和发送者之间经过了40跳(64-24=40)。在对GitHub发动的DDoS攻击中,攻击者劫持了百度的JS文件。如图所示,百度服务器所发送数据包的TTL=64,第一次抵达用户浏览器时TTL=42,经过了22跳,用户发回的请求包的TTL值也是64,但接下来的响应包的TTL值却突然变成了227,显然有中间人设备注入了伪造包。一位研究人员用定制Traceroute工具测试发现,注入设备位于第11跳和第12跳之间,通过查询第12跳设备的IP地址,作者发现它位于中国联通骨干网,因此得出了中国政府与此有关的结论。
Google对JS劫持攻击的分析
2015年4月24日,Google安全团队在其博客撰文称,Javascript劫持攻击的执行分为多个阶段,最早发生在2015年3月3日,最后一次是在4月7日。Google指出,共有8个百度网域遭到劫持,被注入不同大小的Javascript代码。Google认为,全面启用HTTPS加密将能防御这类攻击。
观点
加州大学伯克利分校研究生比尔·马尔切克认为,一些中国国内网站,如百度被“大炮”截获数据用以进行网络攻击,会损害其成为一家全球性竞争企业的机会。
近期品葱遭受攻击,很有可能又是大炮在搞鬼。
主要技术
根据命名大炮的加拿大学者表示,大炮将从中国以外的连线流量导到特定的目标网站,导致目标网站网络服务不稳。虽然大炮跟防火长城一起,但大炮是分开的攻击系统,拥有不同的设计和功用。[sup][4][/sup]除了发起分布式拒绝服务攻击以外,大炮还能监控网络流量,以及采用类似美国国安局的量子注入系统(Quantum insert system),对目标散布恶意程序。
大炮发起的攻击
大炮的第一个目标可能是存储避开网络审查工具的网站,像是在线源代码存储网站GitHub,以及监控中国防火长城屏蔽现况的GreatFire网站。[sup][7][/sup]多次技术报告显示,发动对GitHub和GreatFire的攻击的方式是通过向百度注入恶意的JavaScript(简称JS)代码以使从中国大陆以外访问百度网站及广告的流量转换为DDoS攻击发送至目标。[sup][8][/sup]
针对Github
2015年3月26日至31日借由旁观者攻击(英语:Man-on-the-side attack)技术对GitHub发起的网络攻击,被认为是大炮的第一次重要应用。
第三方研究者指出,此次攻击采用了HTTP劫持,百度的JS脚本文件被中间人植入了攻击GitHub的代码,其功能是每隔2秒加载一次GreatFire或纽约时报中文网的账号主页。[sup][9][/sup]百度已否认自身产品存在安全问题。[sup][10][/sup]。这次攻击导致GitHub在全球范围内的访问速度下降。[sup][11][/sup]外界普遍相信这是中国政府所为,但中国政府予以否认。[sup][12][/sup] [sup][13][/sup] 3月28日(UTC+8)起,GitHub在中国大陆十分不稳定,多数情况下无法访问。[sup][14][/sup]截止29日,攻击者共使用了四种DDoS攻击技术:
- 第一轮,利用中国大陆以外的网民与翻墙的网民浏览被劫持的百度JavaScript文件,该文件每2秒向GitHub上的两个页面发出请求,被GitHub的弹窗警告拦住;
- 第二轮,跨网域<img>攻击,被GitHub检查Referer拦住;
- 第三轮,DDoS攻击GitHub Pages;
- 第四轮,SYN flood,利用TCP缺陷发送大批伪造的TCP连线请求,耗尽GitHub的资源。[sup][15][/sup]
根据系统状态消息页面的显示,已于3月31日停止了网络攻击,该日凌晨0:09(UTC)已经稳定。GitHub在其Twitter与微博予以了证实。至此,此网络攻击共持续了五天。
其他
2015年4月26日,大炮对开放源代码网站wpkg.org与旅游网站ptraveler.com发动了攻击,凡是用中国IP浏览嵌入了Facebook Connect按钮脚本的网站,皆会被重定向至这两个网站。
2017年8月16日,大炮被发现攻击曾经邀请中国海外流亡富豪郭文贵做访谈的异议新闻站点明镜网,大炮通过对百度站长统计的脚本代码注入攻击明镜网的代码。
2019年12月初,美国网络服务提供商AT&T公司下属的网络安全实验室发表研究报告指出,自11月25日起,“大炮”被重新部署以攻击被认为与香港反对逃犯条例修订草案运动有关的网络论坛LIHKG讨论区及多个其它意义不明的网络目标。该报道亦提及,早在8月31日,“大炮”就曾对LIHKG讨论区发起攻击。而有关程序代码与2017年明镜新闻网所受攻击中的代码极为相似。[sup][22][/sup]
如何认定与中国政府有关
使用Traceroute追踪TTL来证明中国政府对GitHub发动攻击
为了防止数据在网络中无限循环,名为存活时间(Time to live,TTL)的机制限定了数据包的寿命。从数据包发出开始,每经过一个路由,TTL就减去1,当TTL=0时数据包将会被丢弃。大多数系统发送数据包时都是从TTL=64开始,如果该数据包抵达时TTL=24,那么计算机和发送者之间经过了40跳(64-24=40)。在对GitHub发动的DDoS攻击中,攻击者劫持了百度的JS文件。如图所示,百度服务器所发送数据包的TTL=64,第一次抵达用户浏览器时TTL=42,经过了22跳,用户发回的请求包的TTL值也是64,但接下来的响应包的TTL值却突然变成了227,显然有中间人设备注入了伪造包。一位研究人员用定制Traceroute工具测试发现,注入设备位于第11跳和第12跳之间,通过查询第12跳设备的IP地址,作者发现它位于中国联通骨干网,因此得出了中国政府与此有关的结论。
Google对JS劫持攻击的分析
2015年4月24日,Google安全团队在其博客撰文称,Javascript劫持攻击的执行分为多个阶段,最早发生在2015年3月3日,最后一次是在4月7日。Google指出,共有8个百度网域遭到劫持,被注入不同大小的Javascript代码。Google认为,全面启用HTTPS加密将能防御这类攻击。
观点
加州大学伯克利分校研究生比尔·马尔切克认为,一些中国国内网站,如百度被“大炮”截获数据用以进行网络攻击,会损害其成为一家全球性竞争企业的机会。
近期品葱遭受攻击,很有可能又是大炮在搞鬼。
7 个评论
恐怖分子把自杀背心穿小孩子身上送死,厉害国炮手劫持JS脚本挂百度上让无辜网民发动攻击
炮手NM$L
习惯了,所谓大炮还不如超算管用,拒绝使用短密钥和闭源代码软件挡住大多数攻击。
今天的问题连登之类其他网站同时有没有中招?还是只针对品葱?
被喔特
观察
我靠!难怪百度超级慢了,开百度搜索慢的要死,地图慢的要死,原来被人劫持了