中国“旁观者攻击”显示网信办的介入

文/

泡泡

全球程序员分享技术的网站Github遭受的攻击超过128个小时,在截稿前,Github在推特上表示“目前已一切正常运行”。软件安全公司Netresec对此次攻击的分析显示,中国方面使用了“旁观者攻击”(Man-on-the-side)的方式发动DDoS。GreatFir也表示,对攻击的详细分析可观察到,中国网信办应对最近两次的攻击负责。

旁观者攻击

旁观者攻击,是一种类似中间人攻击的手法。中间人攻击是完全控制一个网络节点,而旁观者攻击则是攻击者监听通信信道植入新信息。攻击者利用时间差,在用户收到正确的回复之前,先向用户发出伪造的回复。访问中国网站的无辜网民,因此被利用来发动DDoS攻击。

执行这个时间差的攻击,只能在骨干网上进行。GreatFire表示,中国网信办因此有不可推卸的责任。“即使网信办没有直接发起攻击,作为管理中国互联网的部门,他们不可能不知道所发生的事情。”GreatFire在网站上发布的声明称。

中国政府“太抠门”?

GreatFire的Charlie Smith(假名)告诉泡泡:“中国政府的攻击方式本可不暴露自己攻击者的身份,但他们要么就是想让全世界都知道,要么就是太抠门。”

Netresec安全研究人员对攻击的分析显示了此次“旁观者攻击”的过程:

  1. 一名无辜的用户在中国之外访问中国网站;
  2. 用户访问的一个网站需要载入一项服务的脚本,比如百度统计的脚本(许多中国网站使用百度统计来监测网站流量);
  3. 中国的一个被动检测设施探测到了浏览器发出的百度脚本请求;
  4. 它发回 了伪造的响应而不是百度脚本,伪造的响应是一个恶意的脚本,它告诉用户的浏览器反复加载GitHub.com的两个特定页面(Greatfire和纽约时报中文网)。

分析显示,这些恶意的脚本是被注入的,并非来自百度的服务器。用户下载的百度统计脚本中,约有1%为伪造的恶意脚本。但考虑到全球网民数量,这1%仍对应着相当庞大的用户。分析也指出,攻击者至少劫持了10个百度 域名的脚本,其中包括了百度统计和百度广告。

分析人员指出,从技术上来说,中国任何网站的脚本都可能被用来执行旁观者攻击。研究认为,中国的防火墙已不仅是封锁信息,而变为积极攻击

信息自由深受压力

此次对GitHub的攻击是针对Greatfire的免翻墙镜像技术。3月中,Greatfire维护的免翻墙镜像网站(包括泡泡的镜像)遭到类似的DDoS攻击,为了减小攻击带来的损伤,Greatfire将镜像网站的内容放在其GitHub页面上。随后即发生了对他们的Github页面的攻击,影响到整个GitHub网站。

GitHub是否会迫于中国方面的压力,将Greatfire的页面删除?对此,GreatFire的Charlie Smith告诉泡泡:

“很显然,总有人支持我们做的事情,也有人反对我们做的事情。但到目前为止,我们还未收到任何压力,让我们删除帐号。”

原文:https://pao-pao.net/article/405

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s