据网友反馈有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站。
此次攻击很有可能是基于 DNS 系统或运营商层面发起的 , 目前受影响的主要是部分地区用户但涉及所有运营商。
更新:此次攻击似乎与路由广播有关通过骨干网络进行劫持 443端口,目前经测试 DNS 系统解析是完全正常的。
例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些站点并未出现异常情况。
由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。
从目前攻击情况来看此次发起攻击的黑客很可能是初学者,而攻击目的很有可能只是在测试但没想到规模如此大。
注1 :此QQ从此前某数据库里可检索出使用者为某校高中生 ,不过尚不清楚是高中在校生还是已经从该校毕业。
注2:目前关于黑客身份还在多方追踪中尚未确定 ,至于是高中生还是已经毕业的学生或者其他身份暂时还未知。
注3:检索发现此QQ号主 1992年已从某高中毕业,现在为某公司职员,据官网介绍该公司并没有流量相关业务。
注4:据大佬们讨论此次攻击似乎是从骨干网络发起七层精准劫持 , 能做到这种攻击的黑客看起来也不像初学者。
从目前网上查询的信息可以看到此次攻击涉及最广的是 GitHub.io,其次用户访问京东等国内知名网站亦会报错。
查看证书信息可以发现这些网站的证书被攻击者使用的自签名证书代替,导致浏览器无法信任从而阻止用户访问。
自签名证书显示证书的制作者昵称为心即山灵 (QQ346608453),这位心即山灵看起来就是此次攻击的始作俑者。
所幸目前全网绝大多数网站都已经开启加密技术对抗劫持,因此用户访问会被阻止而不会被引导到钓鱼网站上去。
如果网站没有采用加密安全链接的话可能会跳转到攻击者制作的钓鱼网站,若输入账号密码则可能会被直接盗取。
从攻击者自签名证书留下的这个扣扣号可以在网上搜寻到部分信息,信息显示此前这名攻击者正在学习加密技术。
这名攻击者还曾在技术交流网站求助他人发送相关源代码,从已知信息判断攻击者可能是在学习后尝试发起攻击。
但估计他也没想到这次攻击能涉及全国多个省市自治区的网络访问,而且此次攻击已经持续十个小时还没有恢复。
另外从这名攻击者如此高调行事的风格来看也极有可能是初学者,毕竟此前尝试大规模劫持的还在牢里没出来呢。
更新下:上次大规模劫持的是 2013 年的事儿,几个主谋判了三年刑期(不过有缓刑的),那么应该早就出来了。
建立安全的HTTPS通讯,可防止中间人攻击,这需要以下步骤:
1、服务端配置正确了对应的安全证书
2、客户端发送请求到服务端
3、服务端返回公钥和证书到客户端
4、客户端接收后会验证证书的安全性,如果通过则会随机生成一个随机数,用公钥对其加密,发送到服务端
5、服务端接受到这个加密后的随机数后会用私钥对其解密得到真正的随机数,随后用这个随机数当做私钥对需要发送的数据进行对称加密
6、客户端在接收到加密后的数据使用私钥(即生成的随机值)对数据进行解密并且解析数据呈现结果给客户
7、SSL加密建立
原创文章,作者:陌涛,如若转载,请注明出处:https://imotao.com/1799.html
