再次更新国产黑客正在通过国内骨干网络发动大规模的中间人攻击

网友反馈有攻击者正在大规模的发起中间人攻击劫持斗鱼，京东和 GitHub 等网站。

此次攻击很有可能是基于 DNS 系统或运营商层面发起的 ,  目前受影响的主要是部分地区用户但涉及所有运营商。

更新：此次攻击似乎与路由广播有关通过骨干网络进行劫持 443端口，目前经测试 DNS 系统解析是完全正常的。

例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题，而国外网络访问这些站点并未出现异常情况。

从目前攻击情况来看此次发起攻击没想到规模如此大。

部分信息的动态更新：

3月27日09:00：攻击范围似乎正在扩大，Github.com主站点也被劫持导致知名众多开源项目现在全部无法访问。

3月27日09:53：经测试目前Github.com主站点正在陆续恢复中，部分地区的用户访问可能还会出现劫持请稍后。

3月27日09:53：据目前信息推测攻击者似乎乌龙了 , 但是能从骨干网络发起劫持看样子并不简单。

3月27日10:36：据测试Github.com主站点目前又挂了，证书还是那个自签名证书因此和之前劫持信息是相同的。

3月27日11:06：据网友反馈Github的证书使用者换成 1396060845037@mymail.com 与之前邮箱不同。

3月28日00:27：据测试目前这种大规模劫持情况基本已经消失 ，全国绝大部分地区访问都已经恢复正常。

最新：5月21日15:45：据360网络安全实验室的统计，此次劫持情况受影响的域名高达1.546万个，包括多个主流网站。

例如京东、百度、谷歌、新浪、163、斗鱼、苏宁、推特、东方财经、简书、芒果TV、知乎、头条以及YTB等等。

具体劫持情况主要是发生在链路上，例如HTTPS的TTL为 53、HTTP为 44，一般来说这两个TTL值应该非常相近。

同时被劫持的HTTPS会话数据包全部回包的 IPID 都是0，而未被劫持的即HTTP首次回包IPID为0之后就不再是0.

结合TTL值的不同与IPID的异常情况，360 网络安全实验室猜测此次问题是有人在链路上发起劫持导致访问异常。

以上为最终更新、本文不再更新

关于QQ号主/攻击者的身份追踪信息：

注1 ：此QQ从此前某数据库里可检索出使用者为某校高中生 ，不过尚不清楚是高中在校生还是已经从该校毕业。

注2：目前关于黑客身份还在多方追踪中尚未确定 ，至于是高中生还是已经毕业的学生或者其他身份暂时还未知。

注3：检索发现此QQ号主 1992年已从某高中毕业，现在为某公司职员，据官网介绍该公司并没有流量相关业务。

注4：据大佬们讨论此次攻击似乎是从骨干网络发起七层精准劫持 ,  能做到这种攻击的黑客看起来也不像初学者。

注5：大佬们讨论的结果里看起来 BGP FlowSpec的可信度应该是最高的，具体可以点击这里查看最高赞的回答。

大量用户无法正常访问：

从目前网上查询的信息可以看到此次攻击涉及最广的是 GitHub.io，其次用户访问京东等国内知名网站亦会报错。

查看证书信息可以发现这些网站的证书被攻击者使用的自签名证书代替，导致浏览器无法信任从而阻止用户访问。

所幸目前全网绝大多数网站都已经开启加密技术对抗劫持，因此用户访问会被阻止而不会被引导到钓鱼网站上去。

如果网站没有采用加密安全链接的话会跳转到攻击者制作的钓鱼网站，若输入账号密码则可能会被直接盗取。

攻击者可能是正在进行测试：

没想到这次攻击能涉及全国多个省市自治区的网络访问，而且此次攻击已经持续十个小时还没有恢复。

被劫持的京东(图片来自unixeno)

部分节点测试情况：

1. # 阿里云上海数据中心(BGP)

2. curl -k -v https://z.github.io

3. * Connected to z.github.io (185.199.108.153) port 443 (#0)

4. * SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256

5. * ALPN, server did not agree to a protocol

6. * Server certificate:

7. * subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; emailAddress=346608453@qq.com* start date: Sep 26 09:33:13 2019 GMT

8. * expire date: Sep 23 09:33:13 2029 GMT

9. * issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; emailAddress=346608453@qq.com* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.

10. > GET / HTTP/1.1

11. > Host: z.github.io

12. > User-Agent: curl/7.52.1

13. > Accept: */*

14. # 群英网络镇江数据中心(电信)

15. curl -k -v https://z.github.io

16. * About to connect() to z.github.io port 443 (#0)

17. * Trying 185.199.110.153...

18. * Connected to z.github.io (185.199.110.153) port 443 (#0)

19. * Initializing NSS with certpath: sql:/etc/pki/nssdb

20. * skipping SSL peer certificate verification

21. * SSL connection using TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

22. * Server certificate:

23. * subject: E=346608453@qq.com,CN=SERVER,OU=NSP,O=COM,L=SZ,ST=GD,C=CN

24. * start date: Sep 26 09:33:13 2019 GMT

25. * expire date: Sep 23 09:33:13 2029 GMT

26. * common name: SERVER

27. * issuer: E=346608453@qq.com,CN=CA,OU=NSP,O=COM,L=SZ,ST=GD,C=CN

28. > GET / HTTP/1.1

29. > User-Agent: curl/7.29.0

30. > Host: z.github.io

31. > Accept: */*

32. # 华为云香港数据中心(以下为正常连接的证书信息第44行)

33. curl -k -v https://z.github.io

34. * Rebuilt URL to: https://z.github.io/

35. * Trying 185.199.108.153...

36. * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256

37. * ALPN, server accepted to use h2

38. * Server certificate:

39. * subject: C=US; ST=California; L=San Francisco; O=GitHub, Inc.; CN=www.github.com

40. * start date: Jun 27 00:00:00 2018 GMT

41. * expire date: Jun 20 12:00:00 2020 GMT

42. * issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=DigiCert SHA2 High Assurance Server CA

43. * SSL certificate verify ok.

44. * Using HTTP2, server supports multi-use

45. * Connection state changed (HTTP/2 confirmed)

46. * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0

47. * Using Stream ID: 1 (easy handle 0x556d826f6ea0)

48. > GET / HTTP/1.1

49. > Host: z.github.io

50. > User-Agent: curl/7.52.1

51. > Accept: */*