(最终更新) 有黑客正在通过国内骨干网络发动大规模的中间人攻击

蓝点网3月26日晚间消息 ,  据蓝点网网友反馈有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站。

此次攻击很有可能是基于 DNS 系统或运营商层面发起的 ,  目前受影响的主要是部分地区用户但涉及所有运营商。

更新:此次攻击似乎与路由广播有关通过骨干网络进行劫持 443端口,目前经测试 DNS 系统解析是完全正常的。

例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些站点并未出现异常情况

由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。

从目前攻击情况来看此次发起攻击的黑客很可能是初学者,而攻击目的很有可能只是在测试但没想到规模如此大。

部分信息的动态更新:

3月27日09:00:攻击范围似乎正在扩大,Github.com主站点也被劫持导致知名众多开源项目现在全部无法访问。

3月27日09:53:经测试目前Github.com主站点正在陆续恢复中,部分地区的用户访问可能还会出现劫持请稍后。

3月27日09:53:据目前信息推测攻击者似乎还是个新手(或者乌龙) , 但是能从骨干网络发起劫持看样子并不简单

3月27日10:36:据测试Github.com主站点目前又挂了,证书还是那个自签名证书因此和之前劫持信息是相同的。

3月27日11:06:据蓝点网网友反馈Github的证书使用者换成 1396060845037@mymail.com 与之前邮箱不同。

3月28日00:27:据蓝点网测试目前这种大规模劫持情况基本已经消失 ,全国绝大部分地区访问都已经恢复正常。

3月28日00:30:被认为是攻击者的 Q 号主发布动态称账号被盗,如果是真的意味着此前收集的信息全部不正确。

目前关于攻击者身份的信息大多数都是根据Q号关联搜寻而来,如果号主非攻击者那么现在真正攻击者身份未知。


5月21日15:45:据360网络安全实验室的统计,此次劫持情况受影响的域名高达1.546万个,包括多个主流网站。

例如京东、百度、谷歌、新浪、163、斗鱼、苏宁、推特、东方财经、简书、芒果TV、知乎、头条以及YTB等等。

具体劫持情况主要是发生在链路上,例如HTTPS的TTL为 53、HTTP为 44,一般来说这两个TTL值应该非常相近。

同时被劫持的HTTPS会话数据包全部回包的 IPID 都是0,而未被劫持的即HTTP首次回包IPID为0之后就不再是0.

结合TTL值的不同与IPID的异常情况,360 网络安全实验室猜测此次问题是有人在链路上发起劫持导致访问异常。


以上为最终更新、本文不再更新

(动态更新中) 有黑客正在通过国内骨干网络发动大规模的中间人攻击

这位巨佬QQ空间没设置权限目前观光团已经进驻😅

关于QQ号主/攻击者的身份追踪信息:

注1 :此QQ从此前某数据库里可检索出使用者为某校高中生 ,不过尚不清楚是高中在校生还是已经从该校毕业

注2:目前关于黑客身份还在多方追踪中尚未确定 ,至于是高中生还是已经毕业的学生或者其他身份暂时还未知

注3:检索发现此QQ号主 1992年已从某高中毕业,现在为某公司职员,据官网介绍该公司并没有流量相关业务。

注4:据大佬们讨论此次攻击似乎是从骨干网络发起七层精准劫持 ,  能做到这种攻击的黑客看起来也不像初学者。

注5:大佬们讨论的结果里看起来 BGP FlowSpec的可信度应该是最高的,具体可以点击这里查看最高赞的回答

有攻击者正在大规模发动中间人攻击 GitHub和京东目前受影响最大

大量用户无法正常访问京东和GitHub:

从目前网上查询的信息可以看到此次攻击涉及最广的是 GitHub.io,其次用户访问京东等国内知名网站亦会报错。

查看证书信息可以发现这些网站的证书被攻击者使用的自签名证书代替,导致浏览器无法信任从而阻止用户访问。

自签名证书显示证书的制作者昵称为心即山灵 (QQ346608453),这位心即山灵看起来就是此次攻击的始作俑者。

所幸目前全网绝大多数网站都已经开启加密技术对抗劫持,因此用户访问会被阻止而不会被引导到钓鱼网站上去。

如果网站没有采用加密安全链接的话可能会跳转到攻击者制作的钓鱼网站,若输入账号密码则可能会被直接盗取。

有攻击者正在大规模发动中间人攻击 GitHub和京东目前受影响最大

346608453@qq.com

攻击者可能是初学者正在进行测试:

从攻击者自签名证书留下的这个扣扣号可以在网上搜寻到部分信息,信息显示此前这名攻击者正在学习加密技术。

这名攻击者还曾在技术交流网站求助他人发送相关源代码,从已知信息判断攻击者可能是在学习后尝试发起攻击。

但估计他也没想到这次攻击能涉及全国多个省市自治区的网络访问,而且此次攻击已经持续十个小时还没有恢复。

另外从这名攻击者如此高调行事的风格来看也极有可能是初学者,毕竟此前尝试大规模劫持的还在牢里没出来呢

更新下:上次大规模劫持的是 2013 年的事儿,几个主谋判了三年刑期(不过有缓刑的),那么应该早就出来了。

有攻击者正在大规模发动中间人攻击 GitHub和京东目前受影响最大

被劫持的京东(图片来自unixeno)

蓝点网部分节点测试情况:

# 阿里云上海数据中心(BGP)
curl -k -v https://z.github.io
* Connected to z.github.io (185.199.108.153) port 443 (#0)
* SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256
* ALPN, server did not agree to a protocol
* Server certificate:
* subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; emailAddress=346608453@qq.com* start date: Sep 26 09:33:13 2019 GMT
* expire date: Sep 23 09:33:13 2029 GMT
* issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; emailAddress=346608453@qq.com* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> GET / HTTP/1.1
> Host: z.github.io
> User-Agent: curl/7.52.1
> Accept: */*
# 群英网络镇江数据中心(电信)
curl -k -v https://z.github.io
* About to connect() to z.github.io port 443 (#0)
* Trying 185.199.110.153...
* Connected to z.github.io (185.199.110.153) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* SSL connection using TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* subject: E=346608453@qq.com,CN=SERVER,OU=NSP,O=COM,L=SZ,ST=GD,C=CN
* start date: Sep 26 09:33:13 2019 GMT
* expire date: Sep 23 09:33:13 2029 GMT
* common name: SERVER
* issuer: E=346608453@qq.com,CN=CA,OU=NSP,O=COM,L=SZ,ST=GD,C=CN
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: z.github.io
> Accept: */*
# 华为云香港数据中心(以下为正常连接的证书信息第44行)
curl -k -v https://z.github.io
* Rebuilt URL to: https://z.github.io/
* Trying 185.199.108.153...
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2
* Server certificate:
* subject: C=US; ST=California; L=San Francisco; O=GitHub, Inc.; CN=www.github.com
* start date: Jun 27 00:00:00 2018 GMT
* expire date: Jun 20 12:00:00 2020 GMT
* issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=DigiCert SHA2 High Assurance Server CA
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x556d826f6ea0)
> GET / HTTP/1.1
> Host: z.github.io
> User-Agent: curl/7.52.1
> Accept: */*
本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
5
Lanscirocconew1RBQREMIX
扫码关注蓝点网微信公众号

评论:

61 条评论,访客:61 条,站长:0 条

0%好评

  • 好评:(0%)
  • 中评:(0%)
  • 差评:(0%)

最新评论

  1. ocz
    ocz发布于: 
    Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 10 64位版 Windows 10 64位版

    我怎么感觉这次国内是顺水推舟了呢,我现在都没能正常访问github

  2. 冷影
    冷影发布于: 
    Safari 13.0.5 Safari 13.0.5 iPad iOS 13.3.1 iPad iOS 13.3.1

    那位qq空间上说账号是被盗了,而且看看历史记录被盗几次了

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

      我也看到了 现在就尴尬了 真正攻击者身份不容易找了

  3. cydiachen
    cydiachen发布于: 
    Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Mac OS X 10.13.6 Mac OS X 10.13.6

    江苏电信恢复

  4. 高海大陆架
    高海大陆架发布于: 
    Chromium Edge 80.0.361.69 Chromium Edge 80.0.361.69 Windows 10 64位版 Windows 10 64位版

    现在又恢复,可以访问了

  5. tototjc
    tototjc发布于: 
    Chromium Edge 80.0.361.69 Chromium Edge 80.0.361.69 Windows 10 64位版 Windows 10 64位版

    广东粤西地区电信和移动都已恢复访问

  6. 火钳留名
    火钳留名发布于: 
    Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

    云南地区已恢复,证书已近恢复

  7. Yulu Zhang
    Yulu Zhang发布于: 
    蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

    幸好有https另外吊销了CNNIC根证书,不然底裤都看没了

  8. Player
    Player发布于: 
    Chromium Edge 80.0.361.69 Chromium Edge 80.0.361.69 Windows 10 64位版 Windows 10 64位版

    3.27,11:00.测试移动网络GitHub/JD下发证书没有异常

  9. DW
    DW发布于: 
    Google Chrome 78.0.3904.108 Google Chrome 78.0.3904.108 Windows 10 64位版 Windows 10 64位版

    为啥不直接报警啊

  10. Hikari
    Hikari发布于: 
    Chromium Edge 83.0.461.1 Chromium Edge 83.0.461.1 Windows 10 64位版 Windows 10 64位版

    如果现在实在想访问github应该怎么办?

  11. 火钳留名
    火钳留名发布于: 
    Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

    邮箱换掉了,不是这个了
    换成1396060845037@mymail.com

  12. Hikari
    Hikari发布于: 
    Chromium Edge 83.0.461.1 Chromium Edge 83.0.461.1 Windows 10 64位版 Windows 10 64位版

    主站劫持的证书邮箱写着 1396060845037@mymail.com 这也是背锅的吗?

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

      之前我更新文章的时候还查看了证书没换,这会儿换了么?

  13. dc
    dc发布于: 
    Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

    现在又不行了啊

  14. hjz
    hjz发布于: 
    Chromium Edge 82.0.453.2 Chromium Edge 82.0.453.2 Windows 10 64位版 Windows 10 64位版

    怎么现在才发啊?不是昨天中午Github Pages就出错了吗?持续关注中……

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

      你没仔细看文章啊 昨天是pages 刚刚说的是GitHub.com主站

  15. 光头哥
    光头哥发布于: 
    Chromium Edge 80.0.361.69 Chromium Edge 80.0.361.69 Windows 10 64位版 Windows 10 64位版

    我这边现在是正常的,证书都是GitHub的,另外CF保平安

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

      刚刚恢复了,之前被劫持也是QQ号那个证书。

  16. 永恆
    永恆发布于: 
    Google Chrome 78.0.3904.108 Google Chrome 78.0.3904.108 Windows 10 64位版 Windows 10 64位版

    我这里github和京东都还正常(山东联通

      • 永恆
        永恆发布于: 
        Google Chrome 78.0.3904.108 Google Chrome 78.0.3904.108 Windows 10 64位版 Windows 10 64位版

        不是刚刚 今天早上还有昨天晚上我都有上github都没问题

        • 山外的鸭子哥
          山外的鸭子哥发布于: 
          Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

          那是你没遇到吧 九点左右大部分地区GitHub都打不开的 中断了半个小时左右

          • 永恆
            永恆发布于: 
            Google Chrome 78.0.3904.108 Google Chrome 78.0.3904.108 Windows 10 64位版 Windows 10 64位版

            会不会跟我用360极速浏览器有关的,github同一时间我换到edge就打不开了

  17. Simon
    Simon发布于: 
    Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

    cnbeta:文章不错,不过马上就是我的了

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

      没有,合作媒体授权相互转载哈。

  18. Chrefox
    Chrefox发布于: 
    Chromium Edge 83.0.461.1 Chromium Edge 83.0.461.1 Windows 10 64位版 Windows 10 64位版

    好吧打不开仅限edge

  19. Chrefox
    Chrefox发布于: 
    Chromium Edge 83.0.461.1 Chromium Edge 83.0.461.1 Windows 10 64位版 Windows 10 64位版

    GitHub现在貌似打不开了????!!!!

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

      是的 攻击范围正在扩大 GitHub.com全站都被劫持了

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

      有些问题,问题1:京东等使用GlobalSign、Digicert的CA也被劫持了,谷歌系证书指的是什么呢?谷歌虽然也签发证书但主要是在谷歌内部使用的,似乎没有对外开放吧。问题2:知乎那边讨论是骨干网络七层精准劫持(文章已更新附带知乎链接见注4)问题3:到证书校验开始被劫持赞同,似乎是请求到某个位置的时候直接返回证书信息。问题4:生成自签名证书是按照网上教程一步一步复制的,这不太像是专业人士的做法吧。

  20. Jasmine-Mori
    Jasmine-Mori发布于: 
    Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

    等一个三年/(*^_^*)

  21. xswl
    xswl发布于: 
    Firefox 69.0 Firefox 69.0 Mac OS X 10.15 Mac OS X 10.15

    生日 19750103,这是高中生???

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

      那得看信息从哪查的了 我这里获得信息不是这个 现在都在查中 没有哪个是确定的

  22. daozhihun
    daozhihun发布于: 
    Firefox 74.0 Firefox 74.0 Ubuntu x64 Ubuntu x64

    感觉不太像初学者的行为,毕竟一个初学者能够随意攻击主干网络这也太可怕了

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

      不是初学者的话这就想不通了,第一攻击没有任何实际目标,跳转的IP只是截留443端口;第二攻击HTTPS站点除了让网站无法打开外不会有其他影响,黑客从这个过程中并不能获得任何收益;第三大黑客不会干这种规模但没有收益的事儿,本文结尾提到的上一个搞大规模劫持的查了下是2013年的事儿了,时间过的真快,那几个被判了3年,那老早就出来了。你想想没有任何收益的话大黑客会冒着关三年的风险吗?肯定不会。另外从网上找教程按步骤生成SSL证书这事儿,看着也像是初学者,还留自己的QQ。当然这些都是猜测,没人知道这个QQ是不是真的是黑客自己的。

  23. 54xzh
    54xzh发布于: 
    Chromium Edge 83.0.461.1 Chromium Edge 83.0.461.1 Windows 10 64位版 Windows 10 64位版

    基于DNS,所以github pages用自己的域名是不是就不会有影响

  24. new1
    new1发布于: 
    Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

    移动网用户表示不知道github是什么网站

  25. Linus_Sebastian
    Linus_Sebastian发布于: 
    Google Chrome 80.0.3987.132 Google Chrome 80.0.3987.132 Windows 10 64位版 Windows 10 64位版

    内蒙古移动,现在一切正常,github pages证书颁发者是DigiCert

  26. まさみ
    まさみ发布于: 
    蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

    可以可以啊,就像那个勒索留微信的风格呢

  27. backup
    backup发布于: 
    Google Chrome 75.0.3770.134 Google Chrome 75.0.3770.134 Windows 10 64位版 Windows 10 64位版

    在某数据库中检索的为啥是已经毕业多年的,在v2和loc上有人指出是新中新公司的

  28. 木头科学二百五
    木头科学二百五发布于: 
    Chromium Edge 83.0.461.1 Chromium Edge 83.0.461.1 Windows 10 64位版 Windows 10 64位版

    呃,这个 QQ 怎么看都是个倒霉蛋替罪羊吧? https://www.v2ex.com/t/656367 普遍认为是一个运维或者码农,签了一个内部测试用的证书,然后不知道被谁拿去配置错了。。。
    真是被攻击的话那也太可怕了,一个初学者就可以控制整个中国的网络?!
    经过我的测试以及 v2ex 帖子里的信息,你也可以 ping 一下, IP 是对的,所以不是 DNS 的问题,而是有人广播了错误的路由,把某些段的 IP 地址对中国大陆范围内重定向了到了自己的服务器上。我现在唯一好奇的是这个服务器居然没崩?所以我推测更有可能是某个核心服务商比如 CDN 云服务商家等拥有广播权限的人在优化网络时错误广播了路由。

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Safari 13.0.5 Safari 13.0.5 iPhone iOS 13.3.1 iPhone iOS 13.3.1

      嗯 都在讨论中 还不确定具体情况

  29. chi2019
    chi2019发布于: 
    Microsoft Edge 18.19587 Microsoft Edge 18.19587 Windows 10 64位版 Windows 10 64位版

    不懂。。。刚刚打开京东网站,edge、IE浏览器,都是啥提示也没有啊

  30. 馋猫
    馋猫发布于: 
    蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

    今晚一直无法检查win10更新,不知道是否有关

  31. bakura1
    bakura1发布于: 
    Google Chrome 62.0.3202.75 Google Chrome 62.0.3202.75 Windows 10 64位版 Windows 10 64位版

    难怪刚刚电不信流量访问GitHub.io提示证书不受信任。

  32. 菜鸟
    菜鸟发布于: 
    Chromium Edge 80.0.361.69 Chromium Edge 80.0.361.69 Windows 10 64位版 Windows 10 64位版

    这…把QQ邮箱都留下了…攻击腾讯的禁脔—京东……
    这兄弟很高调…

  33. Hikari
    Hikari发布于: 
    Chromium Edge 83.0.461.1 Chromium Edge 83.0.461.1 Windows 10 64位版 Windows 10 64位版

    连QQ号都敢留下😂

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

      他应该是按照网上教程一步一步操作的,其中生成证书需要填写邮箱,于是不假思索的填写了

      • RBQREMIX
        RBQREMIX发布于: 
        Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 64位版 Windows 10 64位版

        这个人简直太惨了,牢饭不知道要吃多久

      • Zhiyuan
        Zhiyuan发布于: 
        Firefox 52.0 Firefox 52.0 Windows 7 64位版 Windows 7 64位版

        这居然都有教程么……这可不是DNS劫持,这看上去像是路由被劫持了……

        • 山外的鸭子哥
          山外的鸭子哥发布于: 
          Safari 13.0.5 Safari 13.0.5 iPhone iOS 13.3.1 iPhone iOS 13.3.1

          对 有讨论说路由层面劫持443端口 应该是骨干节点

发表评论