這種文章通常加了中國之後腦袋就壞掉了, 我是看到中文標題才跑回去找原文來看的, 果然原文才有有趣的資料

有幾個有趣的點, 我標一下,
The flood was coming from a single country: 99.8% China
攻擊 99.8% 來自中國

During the flood we were able to look at the packet traces and we are confident the attack didn’t involve a TCP packet injection.
確認這次的攻擊不包含 TCP packet injection (就是修改 TCP packet 或是在 TCP packet 內加料)

To recap, we think this had happened:

• A user was casually browsing the Internet or opened an app on the smartphone.
• The user was served an iframe with an advertisement.
• The advertisement content was requested from an ad network.
• The ad network forwarded the request to the third-party that won the ad auction.
• Either the third-party website was the “attack page”, or it forwarded the user to an “attack page”.
• The user was served an attack page containing a malicious JavaScript which launched a flood of XHR requests against CloudFlare servers.

不是 Third-Party 的網頁中標了, 就是被導到中標的網頁.

其實我看到特別標出不是 TCP Packet Injection 那一段就感覺好像在那邊看過.
找了一下網路, 發現還是找自己的 BLOG 最好 (我都忘了這件事情了)
Github 遭受 Baidu JavaScript 的攻擊

簡單的說, 我認為不是 third-party website “attack page” 有問題, 而是被導到 “attack page”
我相信他們己經操作的很純熟了, 只是是在那邊發動攻擊的呢? 這就不得而知了.

如果再搭配前一陣子的新聞, 我相信這群人應該掌握不少 corerouter .
Cisco routers attacked by hackers in four countries

The post 手機廣告網路被用來發動 DDoS 攻擊 appeared first on richliu's blog.

作者：林宗男（台大電機系暨電信所教授）

最近引發國人關切的中國樂視網事件，到底樂視網的伺服器放在遠傳的機房是否只是NCC官員所宣稱的新興媒體(over-the-top)的一種，全世界只有中國與新加坡在管制？立法委員是否小題大作呢？從NCC官員在立法院的回答，可知官員完全是技術的門外漢，財團見錢眼開，完全忽視此舉對資安、國安帶來的衝擊，將造成我國資安防護出現破洞的嚴重結果。

要了解樂視網這個事件對資安帶來的衝擊，必須先解釋一下網際網路運作的基本原理。目前網際網路是透過TCP/IP的階層架構(layer architecture)來提供服務，在應用層(Application Layer)可提供使用者各式各樣的服務，如:多媒體串流視訊、電子商務、社群網站。 這些透過網際網路第三方業者提供的over-the-top service (OTT)應用服務， 並不需要由電信業者經營，只不過提供這些OTT應用服務的資訊，需經由電信業者所建設的實體通訊網路，傳遞至消費者端。

我國是自由民主的國家，民眾可以不受限制至美國亞馬遜網站或中國淘寶網購物，或透過串流服務(如Youtube)收看視訊內容。這些OTT 的資訊(Application layer)，藉由傳輸層(transport layer)的TCP封包傳送。 TCP封包必須靠底層(Layer 1及Layer 2)的實體網路設備達到網際網路的通透性。電信業者所建設的實體通訊網路，因為攸關國家安全至鉅，各國都是列為國家的關鍵基礎設施，受到嚴密保護。之前有數百位電機資訊學者，連署反對服貿對中方開放第二類電信服務，就是基於這個原因。

樂視網這個事件的嚴重性，在於實體通訊網路資安防護的破窗效應。樂視網伺服器放置於第一類電信業者的機房，並且與其他業者界接(peering)，並不是單純的屬於應用層資訊的新興媒體的服務。美國亞馬遜沒有將其資訊設備置於我國境內，並不妨礙民眾上美國亞馬遜網站購物。當中資將其資通訊設備置於我方機房內，防護外部攻擊的資安防護設備:如防火牆、入侵預防系統(IPS)等，將產生無法有效防堵內部人攻擊(insider attack)的疑慮。以樂視網的規模,日均使用者超過5000萬, 月均超過3.5億通訊量,也形成盜取資安機密最佳的掩護。第一類電信業者機房的界接，也變成駭客來尋找其他公司或政府機關資訊系統漏洞的私密便道。

這個事件說明突破特洛伊城牆的第一隻木馬已經進駐，對我國通訊網路產生的破窗效果，將造成台灣資安管理敵我關係的弱化。先不去談論它所提供的節目是否違反廣電法之虞；單是對於資安與國安的衝擊就是顯而易見的。法律背景的政府官員對於技術的不熟悉還能理解，提供電信服務的第一線業者如此作為，則是更令人不解！

因為大神都沒有寫文章出來解釋, 小弟根據自己的經驗, 參考有實務經驗友人的意見拙作一篇.

關於這一篇, NCC 官員在立法院的回答是不是門外漢我不知道(也懶得查), 但是這篇確是百分之百的門外漢寫的.
原因如下.

其實他根本不用拿專有名詞出來的, 講這四層就是給人笑話的. 這四層是

他要講什麼, 我也不知道, 到不是不理解, 而是不知道他要表達什麼.
我猜他講的是 Network Interface 可以直接存取到底層的設備.
照他這個理論, 所有的網路封包都可以存取到最底層. 包含從國外來的. (註: Network Interface Layer 的某些資訊像是 MAC Address 在過路由器之後就會不見, 所以正常的封包是無法接觸到內部網路的 Mac Address)

一般來說, 大家上網和伺服器之間, 只要在 Application Layer 加密之後, 例如像連上 Google 或是 Facebook , 網址前面是 https://www.google.com.tw 和 https://www.facebook.com, 這就代表己經加密了.
加密後, 除非是像 NSA 之類的偶爾一些流言己經可以破解連線數據, 其他人短期內要在中間破解的難度仍然比較高一點. (並不是不可能, 但不在本文撰寫的範圍之內)

其他的部份我不知道他在講什麼, 老實說應該一般人也看不懂, 拿出教授名號就是對的, 嚇一下大家就覺得他講的對. 知道的人就知道他寫的東西根本錯誤很多.

電信機房長的類似這樣. 一櫃一櫃的.  一般企業就租個一櫃內一到數層, 或是租個幾櫃, 或是更多, 這不一定. (也有其他方案, 不贊述)

一般 ISP/IDC (像中華電信或是遠傳機房)會拉一條網路線或是局端設備在租用的機櫃.
進入維護時需登記, 進去之後只有自己公司的機櫃會打開, 無法接觸到其他的機櫃, 只能維護自己的設備.

機櫃內的安全設備架設大概像下圖, 各公司可能差異很大, 但是大部份中型網站大致上會長得像這樣. 電信公司提供 Router 和 Switch 負責交換網路, 公司進來第一層是防火牆(Firewall), 有些注重資安的公司大多都用功能較強的 IPS, 可以同時偵測疑似入侵行為並且馬上防護. 接下來是負載平衡設備再接到許多伺服器上, 以便同時提供服務.

公司和公司之間並不直接相連(peer), 在這個圖上就可以看到, 公司對公司之間還是有防火牆和入侵偵測, 除非網路架構設計錯誤, 否則並不會有他文內所謂的內部人攻擊. 除非是自己攻擊自己. (那這個就是另一個問題).

至於大流量盗取資安機密也是笑話, 如果他真的能盗取足夠的機密資料.
隨便一個家用網路像是 Hinet 光世代, 加上加密線路 IPSEC 或是 TOR 這種匿名網路, 以台灣的能力都很難監控到. 而且台灣的網路基礎建設還可以, 上傳並不會是件太困難的事情.

綜合以上他想說的可能會像是, 入侵別人網站取得大量資料隨時上傳.
大概像是即時備份之類的吧. 這個有可能, 不過如果都能盜取了, 為什麼還要一個中介站轉資料出來呢? 不直接在被駭入的機器上傳?

至於拿美國亞馬遜網站做例子就更顯得無知,
樂視是中國 OTT (Over the top), 簡單的說, 就是越過傳統的第四台, 或是中華電信 MOD 等載體, 由內容/版權持有者, 直接將內容提供給收視戶的技術.
美國 Amazon 提供的是購物網站, 內容不用即時, 速度稍慢也沒有關係. (事實上 Amazon 可能有買當地的代理伺服器提供內容快取服務加速), 頻寬耗用比樂視這種影音服務小很多.
而樂視提供下載影片是需要在當地提供大量頻寬的服務(我不確定有沒有用P2P, 印像樂視有, 但是猜測高畫質可能是直接提供). 所以在需要在當地架設機房.
假設台灣的收視戶夠多, 台灣和中國之間的頻寬不夠, 這會限制樂視的總收視戶, 台灣和中國之間的頻寬並沒有寬到足以提供台灣當地的樂視收視戶. 這應該是樂視要在本地租用機房的原因.

而這件事最大的問題可能在於:
1. 這些版權物是不是有受到中華民國官方單位的審核? 雖然我是覺得根本不必審核, 不過某種程度這也是展現國家公權力. NCC雖然大家覺得他很爛, 但是很爛不表示不應該有審核的機構. (像是影片分級或是動畫分級, 甚至是遊戲分級等等)
2. 會不會有對中華民國不友善或是惡毒的意識型態存在, 但是台灣卻沒有辦法”管理”, 雖然我是贊成言論自由, 但是言論自由侵犯到他人的自由或是虛偽不實的言論, 我個人認為仍然需要管制.
這些都是有興趣的人可以好好追查的, 同樣不在本文主要討論範圍.

至於 ISP/IDC 提供租用機房的服務就像是 ISP/IDC 提供水電冷氣和網路頻寬, 主要是大頻寬, 可能給予某些比家用戶更高的網路優先權, 保證頻寬或是固定IP. 除此之外和家用網路並無不同. 無需擔心.

大致上就和他的反服貿二類電信一樣, 其實管控得宜不會影響到國家主幹網路.

至於可能發生的潛在問題是什麼, 大膽猜測一下

1) 樂視人員進入維護可能具有大陸人身份, 有潛在風險. (是說中國的機房我也去了很多次了, 那邊都沒有在防台灣人的)
2) 樂視的伺服器可以存取電信業者的 switch router 進而進入電信內部網路. 不過這個駭入別家公司也有可能做得到, 不必大費週章.
3) 不當的接線讓樂視和公司 B 直連, 直接接取公司 B 內部網路. 這個屬人員控管和機房控管問題, 的確有可能發生, 不過不是單純的讓他放機器就可以達到目地的.

後記

其實這篇我很早就寫好了, 比上一篇Raid 5 重建的機率很低嗎?還早.

原因是我覺得這篇的概念太簡單, 這應該是這個產業內人人都大概可以知道的東西,
上 FB 或是問一下業界人士大概都可以得到這樣的答案. 但是就是因為太簡單, 我才沒有發出去, 這些日子以來, 我都在想, 台灣發生了什麼問題, 連這種最基本的知識都會搞錯.

這篇讀者投書中的錯誤資訊,
原因只有(1)這位台大電機暨電信所的教授並不知道, 或是(2)故意引導讀者到錯誤的方向

從結論看起來, 我不想猜測是後者. 但是前者也好不到那邊去.
更糟的是, 看起來是 (1) + (2)

因為不知道表示你台大教授的程度是很差的, 這樣的人如何可以教育我們下一代呢?
故意引導讀者到錯誤的方向表示台大教授為特定政治服務就違背良心發言.

在資訊科技, 中國都在上太空了, 我們連台大都還在殺豬公.
想到這一點, 我真的是寫不下去了, 唉.

The post [評] 特洛伊木馬已進駐台灣 appeared first on richliu's blog.

http://www.msn.com.tw
http://tw.msn.com
http://taiwan.cnet.com

即有可能會被導到
http://www.dachengkeji.com/aritcle/index.htm

經過分析, 問題出在 Client 傳出 GET HTTP/1.1 之後, 馬上就會回傳一個帶有其他網址的封包, 而這個封包是帶有 FIN Flag.
這是第五個封包.

正常的封包是第八個

所以不論你用的是 IE/Firefox 還是 Windows XP/Vista or Linux
不管 Server 是 IIS 或是 Apache
統統都有可能被導向到新的網站.

從有限的資料
1) Hinet 3IP/ADSL
2) 大陸
有可能被導向
TANET 似乎沒有問題.

有網友猜測是
1) 被種木馬
2) ROOT DNS 攻擊
3) DNS Cache 攻擊
個人看法統統都不是, 因為我連的 IP 仍然是 taiwan.cnet.com 和 tw.msn.com 的 IP. 而有問題的封包是搶在 SERVER 回應之前送來的.

從 Packet 回傳的 delta time 來看, 個人猜測可能狀況為下
1. Hinet 和大陸到 taiwan.cnet.com 和 tw.msn.com 的 ISP 被 mirror port, 偵側到 GET HTTP/1.1 隨機送出網址
2. Abovenet 被破台了, 木馬是種在 Abovenet Transparent proxy 內. (會猜 Abovenet 是因為這二家都是很大家的入口網站)
3. IDC 被 ARP Spoofing, 流量被導到某些被破台的機器.

後續發展就需要再觀察了, 這段期間請大家小心,
尤其是 hinet 的用戶. cnet.com 和 msn.com 暫時就不要去了, 到 Google 多好, 沒事.
儘量不要用主流的瀏覽器, 像是 IE. 可以省掉不少潛在的風險.

網路是很危險的, 也是很脆弱, Internet 不如我們想像中安全呀~~~

Ref.
連tw.msn.com就被導向http://www.dachengkeji.com/article/index.htm

Update:

小小修正一些內容, 放個假回來好像變得更精彩, 大家也愈寫愈詳細.
這邊補充一下使用的工具是 Wireshark, 這是一套跨平台功能強大的 Packet Logger. 配合發展的 libpcap 也是一個強大的 Packet capture library.

再補二個相關的 URL

• 大規模網頁綁架轉址：威脅未解除，但專家都猜錯了
• 關於這兩天的轉址攻擊事件

The post 某些 ISP 疑似被 hijacking 攻擊 appeared first on richliu's blog.