大炮 (网络攻击工具)

大炮英語:)是中華人民共和國的網路攻擊工具的名稱,藉由攔截大量網路流量,對特定目標網站發動分散式阻斷服務攻擊(DDoS)。[1][2][3]其中除了網路攻擊,還曾對翻牆技術討論網站進行攻擊,阻止相關加密技術交流開發。

主要技术

根據命名大炮的加拿大學者表示,大炮將從中國以外的連線流量導到特定的目標網站,導致目標網站網路服務不穩。雖然大炮跟防火長城一起,但大炮是分開的攻擊系統,擁有不同的設計和功用。[4]除了發起分散式阻斷服務攻擊以外,大炮還能監控網路流量,以及採用類似美國國安局量子注入系統(Quantum insert system),對目標散佈惡意程式[5][6]

大炮發起的攻擊

大炮的第一個目標可能是存储避開網路審查工具的網站,像是線上原始碼存储網站GitHub,以及監控中國防火長城封鎖現況的GreatFire網站。[7]多次技术报告显示,发动对GitHub和GreatFire的攻击的方式是通过向百度注入恶意的JavaScript(简称JS)代码以使从中国大陆以外访问百度网站及广告的流量转换为DDoS攻击发送至目标。[8]

针对Github

2015年3月26日至31日借由旁觀者攻擊英語:)技術對GitHub發起的網絡攻擊,被认为是大炮的第一次重要应用。

第三方研究者指出,此次攻击采用了HTTP劫持,百度JS脚本文件中间人植入了攻击GitHub的代码,其功能是每隔2秒加载一次GreatFire纽约时报中文网的帳號主頁。[9]百度已否认自身产品存在安全问题。[10]。这次攻击导致GitHub在全球范围内的访问速度下降。[11]外界普遍相信這是中國政府所為,但中国政府予以否认。[12] [13] 3月28日(UTC+8)起,GitHub在中国大陆十分不稳定,多数情况下无法访问。[14]截止29日,攻击者共使用了四種DDoS攻擊技術:

  1. 第一輪,利用中國大陸以外的網民與翻牆的網民瀏覽被劫持的百度JavaScript檔案,該檔案每2秒向GitHub上的两个頁面發出請求,被GitHub的彈窗警告攔住;
  2. 第二轮,跨網域<img>攻擊,被GitHub检查Referer攔住;
  3. 第三輪,DDoS攻擊GitHub Pages
  4. 第四輪,SYN flood,利用TCP缺陷发送大批伪造的TCP連線請求,耗盡GitHub的資源。[15]

根據系統狀態訊息頁面的顯示,已於3月31日停止了網路攻擊,該日凌晨0:09(UTC)已經穩定。GitHub在其Twitter與微博予以了證實。至此,此網路攻擊共持續了五天。

其他

2015年4月26日,大炮對開放原始碼網站wpkg.org與旅遊網站ptraveler.com發動了攻擊,凡是用中國IP瀏覽嵌入了Facebook Connect按鈕脚本的網站,皆會被重新導向至這兩個網站。[16][17]

2017年8月16日,大炮被发现攻击曾经邀请中国海外流亡富豪郭文贵做访谈的异议新闻站点明镜网,大炮通过对百度站长统计的脚本代码注入攻击明镜网的代码。 [18][19][20][21]

2019年11月25日,新品葱遭到来自中国大陆的DDoS攻击,导致约十小时左右无法访问,随后恢复正常。

2019年12月初,美国网络服务提供商AT&T公司下屬的網絡安全實驗室发表研究报告指出,自11月25日起,「大炮」被重新部署以攻击被认为与香港反對逃犯條例修訂草案運動有关的网络论坛LIHKG討論區及多个其它意义不明的网络目标。该报道亦提及,早在8月31日,「大炮」就曾对LIHKG讨论区发起攻击。而有关程序代码与2017年明镜新闻网所受攻击中的代碼極爲相似。[22]

如何认定与中国政府有关
使用Traceroute追踪TTL来证明中国政府对GitHub发动攻击

为了防止数据在网络中无限循环,名为存活时间(Time to live,TTL)的机制限定了数据包的寿命。从数据包发出开始,每经过一个路由,TTL就减去1,当TTL=0时数据包将会被丢弃。大多数系统发送数据包时都是从TTL=64开始,如果该数据包抵达时TTL=24,那么计算机和发送者之间经过了40跳(64-24=40)。在对GitHub发动的DDoS攻击中,攻击者劫持了百度的JS文件。如图所示,百度服务器所发送数据包的TTL=64,第一次抵达用户浏览器时TTL=42,经过了22跳,用户发回的请求包的TTL值也是64,但接下来的响应包的TTL值却突然变成了227,显然有中间人设备注入了伪造包。一位研究人员用定制Traceroute工具测试发现,注入设备位于第11跳和第12跳之间,通过查询第12跳设备的IP地址,作者发现它位于中国联通骨干网,因此得出了中国政府与此有关的结论。[23]

Google對JS劫持攻擊的分析

2015年4月24日,Google安全團隊在其部落格撰文稱,Javascript劫持攻击的执行分为多個阶段,最早发生在2015年3月3日,最后一次是在4月7日。Google指出,共有8個百度網域遭到劫持,被注入不同大小的Javascript代码。Google认为,全面启用HTTPS加密将能防御這类攻击。[24]

观点

加州大学伯克利分校研究生比尔·马尔切克认为,一些中国国内网站,如百度被“大炮”截获数据用以进行网絡攻击,会损害其成为一家全球性竞争企业的机会。[25]

參見

参考文献
  1. Perlroth, Nicole. . The New York Times. The New York Times Company. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (英语).
  2. 路西. . BBC中文網. 2015-04-11 [2015-04-11]. (原始内容存档于2015-04-14) (中文(繁體)‎).
  3. 秦雨霏. . 大紀元. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (中文(台灣)‎).
  4. Marczak, Bill; Weaver, Nicolas; Dalek, Jakub; Ensafi, Roya; Fifield, David; McKune, Sarah; Rey, Arn; Scott-Railton, John; Deibert, Ronald; Paxson, Vern. . The Citizen Lab. Munk School of Global Affairs, University of Toronto, Canada. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-10) (英语).
  5. Franceschi-Bicchierai, Lorenzo. . Motherboard - Vice. Vice Media LLC. April 10, 2015 [April 10, 2015]. (原始内容存档于2015-04-12) (英语).
  6. Stone, Jeff. . International Business Times. IBT Media Inc. April 10, 2015 [April 10, 2015]. (原始内容存档于2015-04-10) (英语).
  7. Peterson, Andrea. . The Washington Post. April 10, 2015 [April 10, 2015]. (原始内容存档于2015-04-17) (英语).
  8. 王凡. . 德国之声. 2015-04-11 [2015-04-12]. (原始内容存档于2015-04-12).
  9. insight-labs. . 乌云知识库. [2018-08-23]. (原始内容存档于2016-09-22).
  10. 百度在线網络技术(北京)有限公司. .
  11. GitHub. . [2018-08-23]. (原始内容存档于2017-02-19).
  12. 陳曉莉. . 台灣iThome. 2015-03-30 [2015-03-30]. (原始内容存档于2015-03-31) (中文(台灣)‎).
  13. 海寧. . 大紀元新聞網. 2015-03-27 [2015-03-30]. (原始内容存档于2015-03-30) (中文(简体)‎).
  14. . 奇客Solidot. 2015-03-27 [2018-08-23]. (原始内容存档于2016-03-23) (中文(中国大陆)‎).
  15. . 奇客Solidot. 2015-03-30 [2015-03-30]. (原始内容存档于2015-03-31) (中文(中国大陆)‎).
  16. WinterIsComing. . Solidot. 2015-04-27 [2015-04-27]. (原始内容存档于2015-04-29) (中文(中国大陆)‎).
  17. . 路透社. April 27, 2015 [2015-04-29]. (原始内容存档于2015-05-03) (英语).
  18. Chun. . [2017-08-16]. (原始内容存档于2017-08-17).
  19. Chun. . [2017-08-16]. (原始内容存档于2017-08-17).
  20. . [2017-08-21].
  21. xqq, 谦谦. . @magicxqq. 2017-08-25 [2017-08-25]. (原始内容存档于2017-08-25).
  22. Doman, Chris. . 2019-12-6 [2019-12-06]. (原始内容存档于2019-12-06).
  23. Graham, Robert. . [2019-09-01]. (原始内容存档于2019-09-01) (英语).
  24. . Google Online Security Blog. April 24, 2015 [April 25, 2015]. (原始内容存档于2015-04-27).
  25. NICOLE PERLROTH. . 纽约时报. 2015年4月13日 [2015年4月13日]. (原始内容存档于2015年4月14日) (中文).

外部連結
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.