大炮 (網路攻擊工具)

中华人民共和国的网络攻击工具

大炮(英語:Great Cannon)是中華人民共和國網路攻擊工具,其藉由劫持大量網路流量,對特定目標網站發動分散式阻斷服務攻擊(DDoS)[1][2][3]

主要技術

根據命名大炮的加拿大學者表示,大炮將從中國以外的連線流量導到特定的目標網站,導致目標網站網路服務不穩。雖然大炮跟防火長城一起,但大炮是分開的攻擊系統,擁有不同的設計和功用。[4]除了發起分散式阻斷服務攻擊以外,大炮還能監控網路流量,以及採用類似美國國安局量子注入系統英語Quantum insert,對目標散佈惡意程式[5][6]

大炮發起的攻擊

針對「依附的自由」

大炮的第一個目標是GreatFire運營的「依附的自由」相關專案 [7], 首次攻擊是對GreatFire運營在內容傳遞網路上的鏡像站點,出現在2015年3月14日[註 1][8]。之後GreatFire報告大規模的攻擊出現在3月17日[9] [10][11]。對鏡像站點的攻擊在3月25日終止[8]

之後在3月26日,被GreatFire用於代管反審查專案的GitHub也受到攻擊。[12][13]

多次技術報告顯示,對GitHub的攻擊的方式是採用了HTTP劫持,通過向百度注入惡意的JavaScript代碼,其功能是每隔2秒載入一次GreatFire或其運營的紐約時報中文網鏡像站點的帳號主頁,以使從中國大陸以外訪問百度網站及廣告的流量轉換為DDoS攻擊傳送至目標。[14] [15][16][7]對GreatFire運營的鏡像站點也使用了了類似的方法。[8][4]百度已否認自身產品存在安全問題[17]

這次攻擊導致GitHub在全球範圍內的訪問速度下降。[18]

根據系統狀態訊息頁面的顯示,已於3月31日停止了網路攻擊,該日凌晨0:09(UTC)已經穩定。GitHub在其Twitter與微博予以了證實。[19]至此,此網路攻擊共持續了五天。 Google的研究人員觀測到HTTP劫持在4月7日終止[8]

如何認定與中國政府有關

 
使用Traceroute追蹤TTL來證明中國政府對GitHub發動攻擊

為了防止資料在網路中無限迴圈,名為存活時間(Time to live,TTL)的機制限定了封包的壽命。從封包發出開始,每經過一個路由,TTL就減去1,當TTL=0時封包將會被丟棄。大多數系統傳送封包時都是從TTL=64開始,如果該封包抵達時TTL=24,那麼電腦和傳送者之間經過了40跳(64-24=40)。在對GitHub發動的DDoS攻擊中,攻擊者劫持了百度的JS檔案。如圖所示,百度伺服器所傳送封包的TTL=64,第一次抵達使用者瀏覽器時TTL=42,經過了22跳,使用者發回的請求包的TTL值也是64,但接下來的回應包的TTL值卻突然變成了227,顯然有中間人裝置注入了偽造包。一位研究人員用客製化Traceroute工具測試發現,注入裝置位於第11跳和第12跳之間,通過查詢第12跳裝置的IP位址,作者發現它位於中國聯通骨幹網,因此得出了中國政府與此有關的結論。[20]

Google對JS劫持攻擊的分析

2015年4月24日,Google安全團隊在其部落格撰文稱,Javascript劫持攻擊的執行分為多個階段,最早發生在2015年3月3日,最後一次是在4月7日。Google指出,共有8個百度網域遭到劫持,被注入不同大小的Javascript代碼。Google認為,全面啟用HTTPS加密將能防禦這類攻擊。[8]

其他

2015年4月26日,大炮對開放原始碼網站wpkg.org與旅遊網站ptraveler.com發動了攻擊,凡是用中國IP瀏覽嵌入了Facebook Connect按鈕指令碼的網站,皆會被重新導向至這兩個網站。[21][22]

2017年8月16日,大炮被發現攻擊曾經邀請中國海外流亡富豪郭文貴做訪談的異議新聞站點明鏡網,大炮通過對百度站長統計的指令碼代碼注入攻擊明鏡網的代碼。 [23][24][25][26]

2019年11月25日,新品蔥遭到來自中國大陸的DDoS攻擊,導致約十小時左右無法訪問,隨後恢復正常。[來源請求]

2019年12月初,美國網路服務提供商AT&T公司下屬的網路安全實驗室發表研究報告指出,自11月25日起,「大炮」被重新部署以攻擊被認為與香港反對逃犯條例修訂草案運動有關的網路論壇LIHKG論壇及多個其它意義不明的網路目標。該報道亦提及,早在8月31日,「大炮」就曾對LIHKG討論區發起攻擊。而有關程式碼與2017年明鏡新聞網所受攻擊中的代碼極爲相似。[27]

觀點

加州大學伯克利分校研究生比爾·馬爾切克認為,一些中國國內網站,如百度被「大炮」截獲資料用以進行網絡攻擊,會損害其成為一家全球性競爭企業的機會。[28]

外界普遍相信這是中國政府所為[4],但中國政府否認關於攻擊的指責,外交部發言人華春瑩認為「中國是網路駭客攻擊的最主要的受害者之一」。[29][30][31]

參見

注釋

  1. ^ GreatFire當時在Cloudfront CDN上建立了大量被封鎖網站的鏡像。

參考文獻

  1. ^ Perlroth, Nicole. China Is Said to Use Powerful New Weapon to Censor Internet. The New York Times. The New York Times Company. 2015-04-10 [2015-04-11]. (原始內容存檔於2015-04-11) (英語). 
  2. ^ 路西. 中國採取新方式 網絡封鎖擴大到境外. BBC中文網. 2015-04-11 [2015-04-11]. (原始內容存檔於2015-04-14) (中文(繁體)). 
  3. ^ 秦雨霏. 中共祭出新武器審查網絡 訪問陸網或被監控. 大紀元. 2015-04-10 [2015-04-11]. (原始內容存檔於2015-04-11) (中文(臺灣)). 
  4. ^ 4.0 4.1 4.2 Marczak, Bill; Weaver, Nicolas; Dalek, Jakub; Ensafi, Roya; Fifield, David; McKune, Sarah; Rey, Arn; Scott-Railton, John; Deibert, Ronald; Paxson, Vern. China’s Great Cannon. Citizen Lab. 2015-04-10 [2015-04-11]. (原始內容存檔於2015-04-10) (英語). 
  5. ^ Franceschi-Bicchierai, Lorenzo. The 'Great Cannon' is China's Powerful New Hacking Weapon. Motherboard - Vice. Vice Media LLC. April 10, 2015 [April 10, 2015]. (原始內容存檔於2015-04-12) (英語). 
  6. ^ Stone, Jeff. China's 'Great Cannon' Lets Internet Censors Hack Sites Abroad -- Just Ask GitHub. International Business Times. IBT Media Inc. April 10, 2015 [April 10, 2015]. (原始內容存檔於2015-04-10) (英語). 
  7. ^ 7.0 7.1 对GitHub的大规模DDoS攻击已超过80个小时. 奇客Solidot. 2015-03-30 [2015-03-30]. (原始內容存檔於2015-03-31) (中文(中國大陸)). 對於GreatFire所實現的collateral freedom(PDF),也有許多人對此表達了不滿,GreatFire的做法讓一些CDN服務商遭到了封殺,而GitHub是最新的受害者。 
  8. ^ 8.0 8.1 8.2 8.3 8.4 A Javascript-based DDoS Attack as seen by Safe Browsing. Google Security Blog. 2015-04-24 [2021-10-09]. (原始內容存檔於2022-01-14). 
  9. ^ charlie. 我们正被攻击. zh.greatfire.org. 2015-03-19 [2021-10-09]. (原始內容存檔於2021-11-25). 攻擊開始於3月17日,我們每小時都要收到高達26億的請求,這是大約正常水平的2500倍以上。 
  10. ^ 互联网自由在中国遭受新攻击. 泡泡網民報告. 2015-03-20 [2021-10-09]. (原始內容存檔於2015-09-27) (中文(簡體)). 
  11. ^ Russel, Jon. These Activists Are Plotting To End Internet Censorship In China. TechCrunch. AOL Inc. 2015-03-30 [2015-04-10]. (原始內容存檔於2020-11-26). The first attack, which began on March 17, sent 2.6 billion requests per hour at peak to Great Fire’s mirrored sites in an effort to seemingly take them offline via overwhelming traffic numbers. 
  12. ^ Github. @Github的个人网站. 新浪微博. 2015-03-28 [2022-01-25]. (原始內容存檔於2020-03-06) (中文(簡體)). 我們近日受到了GitHub歷史上最大的DDoS攻擊,攻擊從3月26日開始,使用了一種複雜的新技術來劫持無關使用者的瀏覽器對我們的網站發起大量流量。根據我們收到的報告,我們相信這次攻擊是為了讓我們移除某一種類的內容。 
  13. ^ Large Scale DDoS Attack on github.com. The GitHub Blog. 2015-03-28 [2022-01-25]. (原始內容存檔於2022-01-21) (美國英語). 
  14. ^ insight-labs. 百度统计js被劫持用来DDOS Github. 烏雲知識庫. 2015-03-27 [2018-08-23]. (原始內容存檔於2016-03-28). 
  15. ^ Github证实遭到DDoS攻击,HTTP劫持已停止. 奇客Solidot. 2015-03-27 [2018-08-23]. (原始內容存檔於2016-03-23) (中文(中國大陸)). 攻擊者的裝置設在網際網路和國內網際網路的邊界上,用惡意的代碼替代百度的JS檔案,載入惡意代碼後使用者的瀏覽器將會每2秒訪問域名https://github.com/greatfire/和https://github.com/cn-nytimes/,也就說訪問國內網站的國外訪問者聯合對Github發動了DDoS攻擊,Github的反制措施是用alert("WARNING: malicious javascript detected on this domain")替換了原網頁的內容。 
  16. ^ 百度联盟广告脚本被插入攻击GitHub代码. Solidot. 2015-03-27 [2021-10-09]. (原始內容存檔於2021-10-09). 
  17. ^ 百度線上網絡技術(北京)有限公司. 百度安全攻防实验室的微博. [2018-08-23]. (原始內容存檔於2015-03-28). 百度安全工程師經過仔細排查,已經排除自身產品的安全問題和駭客攻擊的可能。我們也已經向其他網路安全機構通報情況,共同對相關問題進行進一步診斷。 
  18. ^ GitHub. GitHub System Status. [2018-08-23]. (原始內容存檔於2017-02-19). 
  19. ^ GitHub. @GitHub的个人主页. 新浪微博. 2015-03-31 [2022-01-25]. (原始內容存檔於2020-03-06) (中文(簡體)). GitHub的服務已完全恢復正常。 
  20. ^ Graham, Robert. Pin-pointing China's attack against GitHub. [2019-09-01]. (原始內容存檔於2019-09-01) (英語). 
  21. ^ WinterIsComing. 开源网站wpkg.org疑遭大炮攻击. Solidot. 2015-04-27 [2015-04-27]. (原始內容存檔於2015-04-29) (中文(中國大陸)). 
  22. ^ China foreign website malfunction drives home Internet woes. 路透社. April 27, 2015 [2015-04-29]. (原始內容存檔於2015-05-03) (英語). 
  23. ^ Chun. [DDoS] 你知道你正在攻擊明鏡時報的網站嗎?. [2017-08-16]. (原始內容存檔於2017-08-17). 
  24. ^ Chun. [DDoS] 百度站長工具 Sitemap 主動推送功能暗藏惡意攻擊程式碼. [2017-08-16]. (原始內容存檔於2017-08-17). 
  25. ^ Javascript 高手帮我看看百度这两段注入代码是想做什么?. V2EX. [2017-08-21]. [永久失效連結]
  26. ^ xqq, 謙謙. 百度站长的JS被插了GFW大炮,然后网易云恰好用了这服务,欣赏DDoS现场. 2017-08-25 [2017-08-25]. (原始內容存檔於2017-08-25) –透過Twitter. 
  27. ^ Doman, Chris. The “Great Cannon” has been deployed again. cybersecurity.att.com. 2019-12-06 [2019-12-06]. (原始內容存檔於2019-12-06). On August 31, 2019, the Great Cannon initiated an attack against a website (lihkg.com) used by members of the Hong Kong democracy movement to plan protests.
    The Javascript code is very similar to the packer code used in the attacks against Mingjingnews observed in 2017
     
  28. ^ NICOLE PERLROTH. 中国启用“网络大炮” 加强境外互联网审查. 紐約時報. 2015年4月13日 [2015年4月13日]. (原始內容存檔於2015年4月14日) (中文). 
  29. ^ 陳曉莉. GitHub遭遇史上最大規模DDoS攻擊,反中國網路防火牆專案被鎖定. 台灣iThome. 2015-03-30 [2015-03-30]. (原始內容存檔於2015-03-31) (中文(臺灣)). 
  30. ^ 海寧. 中共借刀杀人 利用海外华人发起DDoS攻击. 大紀元新聞網. 2015-03-27 [2015-03-30]. (原始內容存檔於2015-03-30) (中文(簡體)). 
  31. ^ 外交部回应GitHub遭来自中国的DDoS攻击. Solidot. 2015-03-30. (原始內容存檔於2015-09-24). 近期似乎只要是美國或者其他哪個國家有網站受到攻擊,就會有人聯想是不是中方駭客所為,這很奇怪。我想提醒你,中國是網路駭客攻擊的最主要的受害者之一。 

延伸閱讀