本頁使用了標題或全文手工轉換

大炮 (網路攻擊工具)

From Wikipedia
(Redirected from 大炮 (中國網路審查))
Jump to navigation Jump to search

大炮(英語:Great Cannon)是中華人民共和國網路攻擊工具的名稱,藉由攔截大量網路流量,對特定目標網站發動分散式阻斷服務攻擊(DDoS)。[1][2][3]其中除了網路攻擊,還曾對翻牆技術討論網站進行攻擊,阻止相關加密技術交流開發。

主要技術[edit]

根據命名大炮的加拿大學者表示,大炮將從中國以外的連線流量導到特定的目標網站,導致目標網站網路服務不穩。雖然大炮跟防火長城一起,但大炮是分開的攻擊系統,擁有不同的設計和功用。[4]除了發起分散式阻斷服務攻擊以外,大炮還能監控網路流量,以及採用類似美國國安局量子注入系統(Quantum insert system),對目標散布惡意程式[5][6]

大炮發起的攻擊[edit]

大炮的第一個目標可能是儲存避開網路審查工具的網站,像是線上原始碼儲存網站GitHub,以及監控中國防火長城封鎖現況的GreatFire網站。[7]多次技術報告顯示,發動對GitHub和GreatFire的攻擊的方式是通過向百度注入惡意的JavaScript(簡稱JS)代碼以使從中國大陸以外存取百度網站及廣告的流量轉換為DDoS攻擊傳送至目標。[8]

針對Github[edit]

2015年3月26日至31日藉由旁觀者攻擊(英語:Man-on-the-side attack)技術對GitHub發起的網路攻擊,被認為是大炮的第一次重要應用。

第三方研究者指出,此次攻擊採用了HTTP劫持,百度JS指令碼檔案中間人植入了攻擊GitHub的代碼,其功能是每隔2秒載入一次GreatFire紐約時報中文網的帳號主頁。[9]百度已否認自身產品存在安全問題。[10]。這次攻擊導致GitHub在全球範圍內的存取速度下降。[11]外界普遍相信這是中國政府所為,但中國政府予以否認。[12] [13] 3月28日(UTC+8)起,GitHub在中國大陸十分不穩定,多數情況下無法存取。[14]截止29日,攻擊者共使用了四種DDoS攻擊技術:

  1. 第一輪,利用中國大陸以外的網友與翻牆的網友瀏覽被劫持的百度JavaScript檔案,該檔案每2秒向GitHub上的兩個頁面發出請求,被GitHub的彈窗警告攔住;
  2. 第二輪,跨網域<img>攻擊,被GitHub檢查Referer攔住;
  3. 第三輪,DDoS攻擊GitHub Pages
  4. 第四輪,SYN flood,利用TCP缺陷傳送大批偽造的TCP連線請求,耗盡GitHub的資源。[15]

根據系統狀態訊息頁面的顯示,已於3月31日停止了網路攻擊,該日凌晨0:09(UTC)已經穩定。GitHub在其Twitter與微博予以了證實。至此,此網路攻擊共持續了五天。

其他[edit]

2015年4月26日,大炮對開放原始碼網站wpkg.org與旅遊網站ptraveler.com發動了攻擊,凡是用中國IP瀏覽嵌入了Facebook Connect按鈕指令碼的網站,皆會被重新導向至這兩個網站。[16][需要更好來源][17]

2017年8月16日,大炮被發現攻擊曾經邀請中國海外流亡富豪郭文貴做訪談的異議新聞站點明鏡網,大炮通過對百度站長統計的指令碼代碼注入攻擊明鏡網的代碼。 [18][19][20][需要非第一級來源][21][需要非第一級來源]

2019年11月25日,新品蔥遭到來自中國大陸的DDoS攻擊,導致約十小時左右無法存取,隨後恢復正常。

2019年12月初,美國網路服務提供商AT&T公司下屬的網路安全實驗室發表研究報告指出,自11月25日起,「大炮」被重新部署以攻擊被認為與香港反對逃犯條例修訂草案運動有關的網路論壇LIHKG討論區及多個其它意義不明的網路目標。該報導亦提及,早在8月31日,「大炮」就曾對LIHKG討論區發起攻擊。而有關程式碼與2017年明鏡新聞網所受攻擊中的代碼極爲相似。[22]

如何認定與中國政府有關[edit]

使用Traceroute追蹤TTL來證明中國政府對GitHub發動攻擊

為了防止資料在網路中無限迴圈,名為存活時間(Time to live,TTL)的機制限定了封包的壽命。從封包發出開始,每經過一個路由,TTL就減去1,當TTL=0時封包將會被丟棄。大多數系統傳送封包時都是從TTL=64開始,如果該封包抵達時TTL=24,那麼電腦和傳送者之間經過了40跳(64-24=40)。在對GitHub發動的DDoS攻擊中,攻擊者劫持了百度的JS檔案。如圖所示,百度伺服器所傳送封包的TTL=64,第一次抵達用戶瀏覽器時TTL=42,經過了22跳,用戶發回的請求包的TTL值也是64,但接下來的回應包的TTL值卻突然變成了227,顯然有中間人裝置注入了偽造包。一位研究人員用客製化Traceroute工具測試發現,注入裝置位於第11跳和第12跳之間,通過查詢第12跳裝置的IP位址,作者發現它位於中國聯通骨幹網,因此得出了中國政府與此有關的結論。[23][需要更好來源][24]

Google對JS劫持攻擊的分析[edit]

2015年4月24日,Google安全團隊在其部落格撰文稱,Javascript劫持攻擊的執行分為多個階段,最早發生在2015年3月3日,最後一次是在4月7日。Google指出,共有8個百度網域遭到劫持,被注入不同大小的Javascript代碼。Google認為,全面啟用HTTPS加密將能防禦這類攻擊。[25][需要更好來源][26]

觀點[edit]

加州大學伯克利分校研究生比爾·馬爾切克認為,一些中國國內網站,如百度被「大炮」截獲資料用以進行網絡攻擊,會損害其成為一家全球性競爭企業的機會。[27]

參見[edit]

參考文獻[edit]

  1. ^ Perlroth, Nicole. China Is Said to Use Powerful New Weapon to Censor Internet. The New York Times. The New York Times Company. 2015-04-10 [2015-04-11] (英語). 
  2. ^ 路西. 中國採取新方式 網絡封鎖擴大到境外. BBC中文網. 2015-04-11 [2015-04-11] (中文(繁體)‎). 
  3. ^ 秦雨霏. 中共祭出新武器審查網絡 訪問陸網或被監控. 大紀元. 2015-04-10 [2015-04-11] (中文(台灣)‎). 
  4. ^ Marczak, Bill; Weaver, Nicolas; Dalek, Jakub; Ensafi, Roya; Fifield, David; McKune, Sarah; Rey, Arn; Scott-Railton, John; Deibert, Ronald; Paxson, Vern. China’s Great Cannon. The Citizen Lab. Munk School of Global Affairs, University of Toronto, Canada. 2015-04-10 [2015-04-11] (英語). 
  5. ^ Franceschi-Bicchierai, Lorenzo. The 'Great Cannon' is China's Powerful New Hacking Weapon. Motherboard - Vice. Vice Media LLC. April 10, 2015 [April 10, 2015] (英語). 
  6. ^ Stone, Jeff. China's 'Great Cannon' Lets Internet Censors Hack Sites Abroad -- Just Ask GitHub. International Business Times. IBT Media Inc. April 10, 2015 [April 10, 2015] (英語). 
  7. ^ Peterson, Andrea. China deploys new weapon for online censorship in form of 『Great Cannon』. The Washington Post. April 10, 2015 [April 10, 2015] (英語). 
  8. ^ 王凡. 信息管制新武器:中國「大炮」. 德國之聲. 2015-04-11 [2015-04-12]. 
  9. ^ insight-labs. 百度統計js被劫持用來DDOS Github. 烏雲知識庫. 
  10. ^ 百度線上網絡技術(北京)有限公司. 百度安全攻防實驗室的微博. 
  11. ^ GitHub. GitHub System Status. 
  12. ^ 陳曉莉. GitHub遭遇史上最大規模DDoS攻擊,反中國網路防火牆專案被鎖定. 台灣iThome. 2015-03-30 [2015-03-30] (中文(台灣)‎). 
  13. ^ 海寧. 中共借刀殺人 利用海外華人發起DDoS攻擊. 大紀元新聞網. 2015-03-27 [2015-03-30] (中文(簡體)‎). 
  14. ^ Github證實遭到DDoS攻擊,HTTP劫持已停止. 奇客Solidot. 2015-03-27 (中文(中國大陸)‎). 
  15. ^ 對GitHub的大規模DDoS攻擊已超過80個小時. 奇客Solidot. 2015-03-30 [2015-03-30] (中文(中國大陸)‎). 
  16. ^ WinterIsComing. 開源網站wpkg.org疑遭大炮攻擊. Solidot. 2015-04-27 [2015-04-27] (中文(中國大陸)‎). 
  17. ^ China foreign website malfunction drives home Internet woes. 路透社. April 27, 2015 [2015-04-29] (英語). 
  18. ^ Chun. [DDoS] 你知道你正在攻擊明鏡時報的網站嗎?. [2017-08-16]. 
  19. ^ Chun. [DDoS] 百度站長工具 Sitemap 主動推送功能暗藏惡意攻擊程式碼. [2017-08-16]. 
  20. ^ Javascript 高手幫我看看百度這兩段注入代碼是想做什麼?. [2017-08-21]. [永久失效連結]
  21. ^ xqq, 謙謙. 百度站長的JS被插了GFW大炮,然後網易雲恰好用了這服務,欣賞DDoS現場pic.twitter.com/RWpP5FQDCB. @magicxqq. 2017-08-25 [2017-08-25]. 
  22. ^ Doman, Chris. The 「Great Cannon」 has been deployed again. 2019-12-6 [2019-12-6]. 
  23. ^ 尋找DDoS攻擊GitHub的幕後組織. Solidot. 2015-04-10 [2015-04-02]. 
  24. ^ Graham, Robert. Pin-pointing China's attack against GitHub. [2019-09-01] (英語). 
  25. ^ Google眼裡的網絡大炮. Solidot. 2015-04-25 [2015-04-25]. 
  26. ^ A Javascript-based DDoS Attack as seen by Safe Browsing. Google Online Security Blog. April 24, 2015 [April 25, 2015]. 
  27. ^ NICOLE PERLROTH. 中國啟用「網絡大炮」 加強境外互聯網審查. 紐約時報. 2015年4月13日 [2015年4月13日] (中文). 

外部連結[edit]