大炮 (网络攻击工具)

大炮英語:)是中華人民共和國網路攻擊工具的名称,借由劫持大量网路流量,对特定目标网站发动分布式拒绝服务攻击(DDoS)[1][2][3]

主要技术

根據命名大炮的加拿大學者表示,大炮將從中國以外的連線流量導到特定的目標網站,導致目標網站網路服務不穩。雖然大炮跟防火長城一起,但大炮是分開的攻擊系統,擁有不同的設計和功用。[4]除了發起分散式阻斷服務攻擊以外,大炮還能監控網路流量,以及採用類似美國國安局量子注入系統(Quantum insert system),對目標散佈惡意程式[5][6]

大炮發起的攻擊

针对“依附的自由”

大炮的第一个目标是GreatFire运营的“依附的自由”相关项目 [7], 首次攻击是对GreatFire运营在内容分发网络上的镜像站点,出现在2015年3月14日。[8][9]之后GreatFire报告大规模的攻击出现在3月17日[10] [11][12]。对镜像站点的攻击在3月25日终止[8]

之后在3月26日,被GreatFire用于托管反审查项目的GitHub也受到攻击。[13][14]

多次技术报告显示,对GitHub的攻击的方式是采用了HTTP劫持,通过向百度注入恶意的JavaScript代码,其功能是每隔2秒加载一次GreatFire或其运营的纽约时报中文网镜像站点的帳號主頁,以使从中国大陆以外访问百度网站及广告的流量转换为DDoS攻击发送至目标。[15] [16][17][7]对GreatFire运营的镜像站点也使用了了类似的方法。[8][4]百度已否认自身产品存在安全问题[18]

这次攻击导致GitHub在全球范围内的访问速度下降。[19]

根據系統狀態訊息頁面的顯示,已於3月31日停止了網路攻擊,該日凌晨0:09(UTC)已經穩定。GitHub在其Twitter與微博予以了證實。[20]至此,此網路攻擊共持續了五天。 Google的研究人员观测到HTTP劫持在4月7日终止[8]

如何认定与中国政府有关

使用Traceroute追踪TTL来证明中国政府对GitHub发动攻击

为了防止数据在网络中无限循环,名为存活时间(Time to live,TTL)的机制限定了数据包的寿命。从数据包发出开始,每经过一个路由,TTL就减去1,当TTL=0时数据包将会被丢弃。大多数系统发送数据包时都是从TTL=64开始,如果该数据包抵达时TTL=24,那么计算机和发送者之间经过了40跳(64-24=40)。在对GitHub发动的DDoS攻击中,攻击者劫持了百度的JS文件。如图所示,百度服务器所发送数据包的TTL=64,第一次抵达用户浏览器时TTL=42,经过了22跳,用户发回的请求包的TTL值也是64,但接下来的响应包的TTL值却突然变成了227,显然有中间人设备注入了伪造包。一位研究人员用定制Traceroute工具测试发现,注入设备位于第11跳和第12跳之间,通过查询第12跳设备的IP地址,作者发现它位于中国联通骨干网,因此得出了中国政府与此有关的结论。[21]

Google對JS劫持攻擊的分析

2015年4月24日,Google安全團隊在其部落格撰文稱,Javascript劫持攻击的执行分为多個阶段,最早发生在2015年3月3日,最后一次是在4月7日。Google指出,共有8個百度網域遭到劫持,被注入不同大小的Javascript代码。Google认为,全面启用HTTPS加密将能防御這类攻击。[8]

其他

2015年4月26日,大炮對開放原始碼網站wpkg.org與旅遊網站ptraveler.com發動了攻擊,凡是用中國IP瀏覽嵌入了Facebook Connect按鈕脚本的網站,皆會被重新導向至這兩個網站。[22][23]

2017年8月16日,大炮被发现攻击曾经邀请中国海外流亡富豪郭文贵做访谈的异议新闻站点明镜网,大炮通过对百度站长统计的脚本代码注入攻击明镜网的代码。 [24][25][26][27]

2019年11月25日,新品葱遭到来自中国大陆的DDoS攻击,导致约十小时左右无法访问,随后恢复正常。

2019年12月初,美国网络服务提供商AT&T公司下屬的網絡安全實驗室发表研究报告指出,自11月25日起,「大炮」被重新部署以攻击被认为与香港反對逃犯條例修訂草案運動有关的网络论坛LIHKG討論區及多个其它意义不明的网络目标。该报道亦提及,早在8月31日,「大炮」就曾对LIHKG讨论区发起攻击。而有关程序代码与2017年明镜新闻网所受攻击中的代碼極爲相似。[28]

观点

加州大学伯克利分校研究生比尔·马尔切克认为,一些中国国内网站,如百度被“大炮”截获数据用以进行网絡攻击,会损害其成为一家全球性竞争企业的机会。[29]

外界普遍相信這是中國政府所為[4],但中国政府否认关于攻击的指责,外交部发言人华春莹认为“中国是网络黑客攻击的最主要的受害者之一”。[30][31][32]

參見

参考文献

  1. Perlroth, Nicole. . The New York Times. The New York Times Company. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (英语).
  2. 路西. . BBC中文網. 2015-04-11 [2015-04-11]. (原始内容存档于2015-04-14) (中文(繁體)).
  3. 秦雨霏. . 大紀元. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (中文(臺灣)).
  4. Marczak, Bill; Weaver, Nicolas; Dalek, Jakub; Ensafi, Roya; Fifield, David; McKune, Sarah; Rey, Arn; Scott-Railton, John; Deibert, Ronald; Paxson, Vern. . Citizen Lab. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-10) (英语).
  5. Franceschi-Bicchierai, Lorenzo. . Motherboard - Vice. Vice Media LLC. April 10, 2015 [April 10, 2015]. (原始内容存档于2015-04-12) (英语).
  6. Stone, Jeff. . International Business Times. IBT Media Inc. April 10, 2015 [April 10, 2015]. (原始内容存档于2015-04-10) (英语).
  7. . 奇客Solidot. 2015-03-30 [2015-03-30]. (原始内容存档于2015-03-31) (中文(中国大陆)). 对于GreatFire所实现的collateral freedom(PDF),也有许多人对此表达了不满,GreatFire的做法让一些CDN服务商遭到了封杀,而GitHub是最新的受害者。
  8. . Google Security Blog. 2015-04-24 [2021-10-09]. (原始内容存档于2022-01-14).
  9. GreatFire当时在 Cloudfront CDN上建立了大量被屏蔽网站的镜像。
  10. charlie. . zh.greatfire.org. 2015-03-19 [2021-10-09]. (原始内容存档于2021-11-25). 攻击开始于3月17日,我们每小时都要收到高达26亿的请求,这是大约正常水平的2500倍以上。
  11. . 泡泡網民報告. 2015-03-20 [2021-10-09]. (原始内容存档于2015-09-27) (中文(简体)).
  12. Russel, Jon. . TechCrunch. AOL Inc. 2015-03-30 [2015-04-10]. (原始内容存档于2020-11-26). The first attack, which began on March 17, sent 2.6 billion requests per hour at peak to Great Fire’s mirrored sites in an effort to seemingly take them offline via overwhelming traffic numbers.
  13. Github. . 新浪微博. 2015-03-28 [2022-01-25]. (原始内容存档于2020-03-06) (中文(简体)). 我们近日受到了GitHub历史上最大的DDoS攻击,攻击从3月26日开始,使用了一种复杂的新技术来劫持无关用户的浏览器对我们的网站发起大量流量。根据我们收到的报告,我们相信这次攻击是为了让我们移除某一种类的内容。
  14. . The GitHub Blog. 2015-03-28 [2022-01-25]. (原始内容存档于2022-01-21) (美国英语).
  15. insight-labs. . 乌云知识库. 2015-03-27 [2018-08-23]. (原始内容存档于2016-03-28).
  16. . 奇客Solidot. 2015-03-27 [2018-08-23]. (原始内容存档于2016-03-23) (中文(中国大陆)). 攻击者的设备设在国际互联网和国内互联网的边界上,用恶意的代码替代百度的JS文件,载入恶意代码后用户的浏览器将会每2秒访问域名https://github.com/greatfire/和https://github.com/cn-nytimes/,也就说访问国内网站的国外访问者联合对Github发动了DDoS攻击,Github的反制措施是用alert("WARNING: malicious javascript detected on this domain")替换了原网页的内容。
  17. . Solidot. 2015-03-27 [2021-10-09]. (原始内容存档于2021-10-09).
  18. 百度在线網络技术(北京)有限公司. . [2018-08-23]. (原始内容存档于2015-03-28). 百度安全工程师经过仔细排查,已经排除自身产品的安全问题和黑客攻击的可能。我们也已经向其他网络安全机构通报情况,共同对相关问题进行进一步诊断。
  19. GitHub. . [2018-08-23]. (原始内容存档于2017-02-19).
  20. GitHub. . 新浪微博. 2015-03-31 [2022-01-25]. (原始内容存档于2020-03-06) (中文(简体)). GitHub的服务已完全恢复正常。
  21. Graham, Robert. . [2019-09-01]. (原始内容存档于2019-09-01) (英语).
  22. WinterIsComing. . Solidot. 2015-04-27 [2015-04-27]. (原始内容存档于2015-04-29) (中文(中国大陆)).
  23. . 路透社. April 27, 2015 [2015-04-29]. (原始内容存档于2015-05-03) (英语).
  24. Chun. . [2017-08-16]. (原始内容存档于2017-08-17).
  25. Chun. . [2017-08-16]. (原始内容存档于2017-08-17).
  26. . V2EX. [2017-08-21].
  27. xqq, 谦谦. . 2017-08-25 [2017-08-25]. (原始内容存档于2017-08-25) Twitter.
  28. Doman, Chris. . cybersecurity.att.com. 2019-12-06 [2019-12-06]. (原始内容存档于2019-12-06). On August 31, 2019, the Great Cannon initiated an attack against a website (lihkg.com) used by members of the Hong Kong democracy movement to plan protests.
    The Javascript code is very similar to the packer code used in the attacks against Mingjingnews observed in 2017
  29. NICOLE PERLROTH. . 纽约时报. 2015年4月13日 [2015年4月13日]. (原始内容存档于2015年4月14日) (中文).
  30. 陳曉莉. . 台灣iThome. 2015-03-30 [2015-03-30]. (原始内容存档于2015-03-31) (中文(臺灣)).
  31. 海寧. . 大紀元新聞網. 2015-03-27 [2015-03-30]. (原始内容存档于2015-03-30) (中文(简体)).
  32. . Solidot. 2015-03-30. (原始内容存档于2015-09-24). 近期似乎只要是美国或者其他哪个国家有网站受到攻击,就会有人联想是不是中方黑客所为,这很奇怪。我想提醒你,中国是网络黑客攻击的最主要的受害者之一。

延伸阅读

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.