Linux, 工作, 生活, 家人

Security

Github 遭受 Baidu JavaScript 的攻擊

最近幾天網路安全的大新聞應該是這一條, 大略看了一下, 大家都說是中國利用防火牆攻擊 Github.

2015年3月30日外交部发言人华春莹主持例行记者会
基於大家對於政府的不信任, 一定會覺得中國政府都沒有回答. 其實我看起來也是.

這二天在翻相關新聞的時候, 有看到有人提到 TTL 這件事. 讓我覺得有些有趣,
回家翻了一下這個攻擊方式, 這個案例很有趣, 有人說是 Man On The Side Attack .

這邊有分析一下攻擊的方式. 因為人不在中國, 不可能有 RAW DATA, 借用一下這網站的資料
China’s Man-on-the-Side Attack on GitHub

192.168.70.160 61.135.185.140 0x0002 64 <- SYN (Client)
61.135.185.140 192.168.70.160 0x0012 42 <- SYN + ACK (Server)
192.168.70.160 61.135.185.140 0x0010 64 <- ACK (Client)
192.168.70.160 61.135.185.140 0x0018 64 <- HTTP GET (client)
61.135.185.140 192.168.70.160 0x0012 227 <- Injected packet 1
192.168.70.160 61.135.185.140 0x0010 64
61.135.185.140 192.168.70.160 0x0012 228 <- Injected packet 2
61.135.185.140 192.168.70.160 0x0012 229 <- Injected packet 3
192.168.70.160 61.135.185.140 0x0010 64
192.168.70.160 61.135.185.140 0x0010 64

不過我個人覺得, 這應該不是 Man-on-the-side . 我猜是 TCP 被 Hijack 直接回給 Client 這個位置.
如果是 Man On The Side, 攻擊應該看起來像是我之前查過的某些 ISP 疑似被 hijacking 攻擊, 會偷送一個封包, 但是不改封包內容.

而 61.135.185.140 在聯通機房內, 沒有經過 GFW. 所以大家猜是 GFW 這件事情, 而中國政府有介入, 我個人認為中國政府搞鬼的機率稍低一點. 惡搞 github 就直接擋掉就好了, 何苦搞 DDoS.

綜上有限的資訊, 我猜可能某個(數個) 靠近百度網站的 Router 被破台了, 流量導向某機器或是在 router 上被人插入模擬 http server 程式碼回應這段 JavaScript, 這個程式碼效率要好, 所以 code 要短小, 所以他的回應 TTL 都是固定的.
至於 TTL 增加這件事有可能只是拿來做個 pattern.
是不是 Man-In-Middle , 我覺得沒有必要, 除非 cracker 要避免 Baidu 發現流量變低.
我想這種類的攻擊應該也不怕被知道, 因為很快就會發現了.

至於這個 IP 是做什麼用的呢?
看起來是做 website analyze 用的 (为什么打开果壳首页还要加载hm.baidu.com这个网站?这是什么网站? ), 所以理論上應該不止使用百度的會受害, 可能在中國隨便看看網站都會受害.

這個攻擊應該是練習用的, 不知道他們查到源頭了沒有, 在更多資訊出來以前, 倒是不用像某些人就馬上指責為中國政府所為, 那樣有違邏輯和科學精神. 我們看問題應該先看看細節是什麼再說.

因為數據有限, 無法拿到資料分析
以上是個人不負責任猜測.

 

發佈留言