大炮 (网络攻击工具)

中华人民共和国的网络攻击工具

大炮(英语:Great Cannon)是中华人民共和国网络攻击工具的名称,借由劫持大量网路流量,对特定目标网站发动分布式拒绝服务攻击(DDoS)[1][2][3]

主要技术

根据命名大炮的加拿大学者表示,大炮将从中国以外的连线流量导到特定的目标网站,导致目标网站网络服务不稳。虽然大炮跟防火长城一起,但大炮是分开的攻击系统,拥有不同的设计和功用。[4]除了发起分布式拒绝服务攻击以外,大炮还能监控网络流量,以及采用类似美国国安局量子注入系统(Quantum insert system),对目标散布恶意程序[5][6]

大炮发起的攻击

针对“依附的自由”

大炮的第一个目标是GreatFire运营的“依附的自由”相关项目 [7], 首次攻击是对GreatFire运营在内容分发网络上的镜像站点,出现在2015年3月14日。[8][9]之后GreatFire报告大规模的攻击出现在3月17日[10] [11][12]。对镜像站点的攻击在3月25日终止[8]

之后在3月26日,被GreatFire用于托管反审查项目的GitHub也受到攻击。[13][14]

多次技术报告显示,对GitHub的攻击的方式是采用了HTTP劫持,通过向百度注入恶意的JavaScript代码,其功能是每隔2秒加载一次GreatFire或其运营的纽约时报中文网镜像站点的账号主页,以使从中国大陆以外访问百度网站及广告的流量转换为DDoS攻击发送至目标。[15] [16][17][7]对GreatFire运营的镜像站点也使用了了类似的方法。[8][4]百度已否认自身产品存在安全问题[18]

这次攻击导致GitHub在全球范围内的访问速度下降。[19]

根据系统状态消息页面的显示,已于3月31日停止了网络攻击,该日凌晨0:09(UTC)已经稳定。GitHub在其Twitter与微博予以了证实。[20]至此,此网络攻击共持续了五天。 Google的研究人员观测到HTTP劫持在4月7日终止[8]

如何认定与中国政府有关

 
使用Traceroute追踪TTL来证明中国政府对GitHub发动攻击

为了防止数据在网络中无限循环,名为存活时间(Time to live,TTL)的机制限定了数据包的寿命。从数据包发出开始,每经过一个路由,TTL就减去1,当TTL=0时数据包将会被丢弃。大多数系统发送数据包时都是从TTL=64开始,如果该数据包抵达时TTL=24,那么电脑和发送者之间经过了40跳(64-24=40)。在对GitHub发动的DDoS攻击中,攻击者劫持了百度的JS文件。如图所示,百度伺服器所发送数据包的TTL=64,第一次抵达用户浏览器时TTL=42,经过了22跳,用户发回的请求包的TTL值也是64,但接下来的响应包的TTL值却突然变成了227,显然有中间人装置注入了伪造包。一位研究人员用定制Traceroute工具测试发现,注入装置位于第11跳和第12跳之间,通过查询第12跳装置的IP地址,作者发现它位于中国联通骨干网,因此得出了中国政府与此有关的结论。[21]

Google对JS劫持攻击的分析

2015年4月24日,Google安全团队在其部落格撰文称,Javascript劫持攻击的执行分为多个阶段,最早发生在2015年3月3日,最后一次是在4月7日。Google指出,共有8个百度网域遭到劫持,被注入不同大小的Javascript代码。Google认为,全面启用HTTPS加密将能防御这类攻击。[8]

其他

2015年4月26日,大炮对开放原始码网站wpkg.org与旅游网站ptraveler.com发动了攻击,凡是用中国IP浏览嵌入了Facebook Connect按钮脚本的网站,皆会被重定向至这两个网站。[22][23]

2017年8月16日,大炮被发现攻击曾经邀请中国海外流亡富豪郭文贵做访谈的异议新闻站点明镜网,大炮通过对百度站长统计的脚本代码注入攻击明镜网的代码。 [24][25][26][27]

2019年11月25日,新品葱遭到来自中国大陆的DDoS攻击,导致约十小时左右无法访问,随后恢复正常。[来源请求]

2019年12月初,美国网络服务提供商AT&T公司下属的网络安全实验室发表研究报告指出,自11月25日起,“大炮”被重新部署以攻击被认为与香港反对逃犯条例修订草案运动有关的网络论坛LIHKG论坛及多个其它意义不明的网络目标。该报道亦提及,早在8月31日,“大炮”就曾对LIHKG讨论区发起攻击。而有关程序代码与2017年明镜新闻网所受攻击中的代码极为相似。[28]

观点

加州大学伯克利分校研究生比尔·马尔切克认为,一些中国国内网站,如百度被“大炮”截获数据用以进行网络攻击,会损害其成为一家全球性竞争企业的机会。[29]

外界普遍相信这是中国政府所为[4],但中国政府否认关于攻击的指责,外交部发言人华春莹认为“中国是网络骇客攻击的最主要的受害者之一”。[30][31][32]

参见

参考文献

  1. ^ Perlroth, Nicole. China Is Said to Use Powerful New Weapon to Censor Internet. The New York Times. The New York Times Company. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (英语). 
  2. ^ 路西. 中國採取新方式 網絡封鎖擴大到境外. BBC中文网. 2015-04-11 [2015-04-11]. (原始内容存档于2015-04-14) (中文(繁体)). 
  3. ^ 秦雨霏. 中共祭出新武器審查網絡 訪問陸網或被監控. 大纪元. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (中文(台湾)). 
  4. ^ 4.0 4.1 4.2 Marczak, Bill; Weaver, Nicolas; Dalek, Jakub; Ensafi, Roya; Fifield, David; McKune, Sarah; Rey, Arn; Scott-Railton, John; Deibert, Ronald; Paxson, Vern. China’s Great Cannon. Citizen Lab. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-10) (英语). 
  5. ^ Franceschi-Bicchierai, Lorenzo. The 'Great Cannon' is China's Powerful New Hacking Weapon. Motherboard - Vice. Vice Media LLC. April 10, 2015 [April 10, 2015]. (原始内容存档于2015-04-12) (英语). 
  6. ^ Stone, Jeff. China's 'Great Cannon' Lets Internet Censors Hack Sites Abroad -- Just Ask GitHub. International Business Times. IBT Media Inc. April 10, 2015 [April 10, 2015]. (原始内容存档于2015-04-10) (英语). 
  7. ^ 7.0 7.1 对GitHub的大规模DDoS攻击已超过80个小时. 奇客Solidot. 2015-03-30 [2015-03-30]. (原始内容存档于2015-03-31) (中文(中国大陆)). 对于GreatFire所实现的collateral freedom(PDF),也有许多人对此表达了不满,GreatFire的做法让一些CDN服务商遭到了封杀,而GitHub是最新的受害者。 
  8. ^ 8.0 8.1 8.2 8.3 8.4 A Javascript-based DDoS Attack as seen by Safe Browsing. Google Security Blog. 2015-04-24 [2021-10-09]. (原始内容存档于2022-01-14). 
  9. ^ GreatFire当时在 Cloudfront CDN上建立了大量被屏蔽网站的镜像。
  10. ^ charlie. 我们正被攻击. zh.greatfire.org. 2015-03-19 [2021-10-09]. (原始内容存档于2021-11-25). 攻击开始于3月17日,我们每小时都要收到高达26亿的请求,这是大约正常水平的2500倍以上。 
  11. ^ 互联网自由在中国遭受新攻击. 泡泡网民报告. 2015-03-20 [2021-10-09]. (原始内容存档于2015-09-27) (中文(简体)). 
  12. ^ Russel, Jon. These Activists Are Plotting To End Internet Censorship In China. TechCrunch. AOL Inc. 2015-03-30 [2015-04-10]. (原始内容存档于2020-11-26). The first attack, which began on March 17, sent 2.6 billion requests per hour at peak to Great Fire’s mirrored sites in an effort to seemingly take them offline via overwhelming traffic numbers. 
  13. ^ Github. @Github的个人网站. 新浪微博. 2015-03-28 [2022-01-25]. (原始内容存档于2020-03-06) (中文(简体)). 我们近日受到了GitHub历史上最大的DDoS攻击,攻击从3月26日开始,使用了一种复杂的新技术来劫持无关用户的浏览器对我们的网站发起大量流量。根据我们收到的报告,我们相信这次攻击是为了让我们移除某一种类的内容。 
  14. ^ Large Scale DDoS Attack on github.com. The GitHub Blog. 2015-03-28 [2022-01-25]. (原始内容存档于2022-01-21) (美国英语). 
  15. ^ insight-labs. 百度统计js被劫持用来DDOS Github. 乌云知识库. 2015-03-27 [2018-08-23]. (原始内容存档于2016-03-28). 
  16. ^ Github证实遭到DDoS攻击,HTTP劫持已停止. 奇客Solidot. 2015-03-27 [2018-08-23]. (原始内容存档于2016-03-23) (中文(中国大陆)). 攻击者的装置设在国际互联网和国内互联网的边界上,用恶意的代码替代百度的JS文件,加载恶意代码后用户的浏览器将会每2秒访问域名https://github.com/greatfire/和https://github.com/cn-nytimes/,也就说访问国内网站的国外访问者联合对Github发动了DDoS攻击,Github的反制措施是用alert("WARNING: malicious javascript detected on this domain")替换了原网页的内容。 
  17. ^ 百度联盟广告脚本被插入攻击GitHub代码. Solidot. 2015-03-27 [2021-10-09]. (原始内容存档于2021-10-09). 
  18. ^ 百度在线网络技术(北京)有限公司. 百度安全攻防实验室的微博. [2018-08-23]. (原始内容存档于2015-03-28). 百度安全工程师经过仔细排查,已经排除自身产品的安全问题和骇客攻击的可能。我们也已经向其他网络安全机构通报情况,共同对相关问题进行进一步诊断。 
  19. ^ GitHub. GitHub System Status. [2018-08-23]. (原始内容存档于2017-02-19). 
  20. ^ GitHub. @GitHub的个人主页. 新浪微博. 2015-03-31 [2022-01-25]. (原始内容存档于2020-03-06) (中文(简体)). GitHub的服务已完全恢复正常。 
  21. ^ Graham, Robert. Pin-pointing China's attack against GitHub. [2019-09-01]. (原始内容存档于2019-09-01) (英语). 
  22. ^ WinterIsComing. 开源网站wpkg.org疑遭大炮攻击. Solidot. 2015-04-27 [2015-04-27]. (原始内容存档于2015-04-29) (中文(中国大陆)). 
  23. ^ China foreign website malfunction drives home Internet woes. 路透社. April 27, 2015 [2015-04-29]. (原始内容存档于2015-05-03) (英语). 
  24. ^ Chun. [DDoS] 你知道你正在攻擊明鏡時報的網站嗎?. [2017-08-16]. (原始内容存档于2017-08-17). 
  25. ^ Chun. [DDoS] 百度站長工具 Sitemap 主動推送功能暗藏惡意攻擊程式碼. [2017-08-16]. (原始内容存档于2017-08-17). 
  26. ^ Javascript 高手帮我看看百度这两段注入代码是想做什么?. V2EX. [2017-08-21]. [永久失效链接]
  27. ^ xqq, 谦谦. 百度站长的JS被插了GFW大炮,然后网易云恰好用了这服务,欣赏DDoS现场. 2017-08-25 [2017-08-25]. (原始内容存档于2017-08-25) –通过Twitter. 
  28. ^ Doman, Chris. The “Great Cannon” has been deployed again. cybersecurity.att.com. 2019-12-06 [2019-12-06]. (原始内容存档于2019-12-06). On August 31, 2019, the Great Cannon initiated an attack against a website (lihkg.com) used by members of the Hong Kong democracy movement to plan protests.
    The Javascript code is very similar to the packer code used in the attacks against Mingjingnews observed in 2017
     
  29. ^ NICOLE PERLROTH. 中国启用“网络大炮” 加强境外互联网审查. 纽约时报. 2015年4月13日 [2015年4月13日]. (原始内容存档于2015年4月14日) (中文). 
  30. ^ 陈晓莉. GitHub遭遇史上最大規模DDoS攻擊,反中國網路防火牆專案被鎖定. 台湾iThome. 2015-03-30 [2015-03-30]. (原始内容存档于2015-03-31) (中文(台湾)). 
  31. ^ 海宁. 中共借刀杀人 利用海外华人发起DDoS攻击. 大纪元新闻网. 2015-03-27 [2015-03-30]. (原始内容存档于2015-03-30) (中文(简体)). 
  32. ^ 外交部回应GitHub遭来自中国的DDoS攻击. Solidot. 2015-03-30. (原始内容存档于2015-09-24). 近期似乎只要是美国或者其他哪个国家有网站受到攻击,就会有人联想是不是中方骇客所为,这很奇怪。我想提醒你,中国是网络骇客攻击的最主要的受害者之一。 

延伸阅读