Github遭遇其史上最大DDOS攻击 攻击仍未停止

知名程序代码托管网站Github在上周传出遭遇该站史上最严重的分布式拒绝服务攻击（DDOS），黑客以大规模的流量消耗Github的带宽和资源，导致访问者无法存储代码。

Github表示，本次攻击开始于上周四（3.26），攻击者结合了各种常见与新兴的复杂技术展开攻击，并通过无辜网民的浏览器发送大量的流量塞爆Github的服务器，Github称他们相信黑客的目的是在于胁迫该站移出特定类型的内容（后文会提到是什么）。

Github是在上周四发现遭到攻击，发现少数服务中断并展开调查。

攻击者持续扩大攻击，使得双方展开激烈的攻防，Github系统也在正常与中断之间反复，在经过87个小时后，Github已经封堵了大多数的攻击流量。

一直到现在，虽然所有的系统已经恢复正常，但攻击者的攻击并未停止，Github仍然维持高度的警觉。

虽然Github没有公布因何遭受攻击、攻击者来源等，但国内外安全专家却已经发现问题了。

一名身在海外的中国资深安全专家Anthr@X透露，他在上周访问中国知名安全网站“乌云”时发现该站被植入了恶意的JavaScript，该JavaScript每隔2秒就会重复加载github上的两个项目，而这两个项目分别与中国网络防火墙GreatFire、纽约时报镜像站CN-NYTimes有关。

据称该攻击分为四波：第一波是创造性的劫持百度JS文件利用中国海外用户的浏览器每2秒向托管在GitHub上的两个反审查项目发出请求，这一手段被GitHub用弹出JS警告alert()防住；第二轮是跨域 <img> 攻击，被GitHub检查Referer挡住；第三波是DDoS攻击GitHub Pages；第四波是正在进行中的TCP SYN洪水攻击，利用TCP协议缺陷发送大量伪造的TCP连接请求，让GitHub耗尽资源。

Anthr@X，中国有许多网站皆利用中国本土搜索引擎百度所提供的广告以及访客追踪机制，而该JavaScript即源于百度。

然而，虽然源于百度，但JavaScript似乎和百度没有关系，百度也可能是其中的受害者，因为某些设备绑架了国内的HTTP流量并以诸如恶意程序来取代百度的追踪程序。

根据Solidot的信息，百度联盟广告的JavaScript在国内外访问有所区别（正常是一样的），该脚本插入了攻击GitHub（greatfire和cn.nytimes）的代码，也就说如果从国外或代理服务器访问嵌入百度广告联盟脚本的网站，你相当于在帮助发起针对GitHub的DDoS攻击。

而百度安全实验室也在第一时间通过微博澄清，尽管他们也知道JavaScript被改，但也排除自身的安全问题导致该问题。

目前通过劫持HTTP的攻击已经停止。