據(jù)藍(lán)點(diǎn)網(wǎng)網(wǎng)友反饋，有攻擊者正在大規(guī)模的發(fā)起中間人攻擊劫持京東和 GitHub 等網(wǎng)站。此次攻擊很有可能是基于 DNS 系統(tǒng)或運(yùn)營(yíng)商層面發(fā)起的，目前受影響的主要是部分地區(qū)用戶(hù)但涉及所有運(yùn)營(yíng)商。例如中國(guó)移動(dòng)、中國(guó)聯(lián)通、中國(guó)電信以及教育網(wǎng)均可復(fù)現(xiàn)劫持問(wèn)題，而國(guó)外網(wǎng)絡(luò)訪(fǎng)問(wèn)這些站點(diǎn)并未出現(xiàn)異常情況。

由于攻擊者使用的自簽名證書(shū)不被所有操作系統(tǒng)以及瀏覽器信任，因此用戶(hù)訪(fǎng)問(wèn)這些網(wǎng)站時(shí)可能會(huì)出現(xiàn)安全警告。從目前攻擊情況來(lái)看此次發(fā)起攻擊的黑客很可能是初學(xué)者，而攻擊目的很有可能只是在測(cè)試但沒(méi)想到規(guī)模如此大。讀者可以點(diǎn)擊以下鏈接進(jìn)行測(cè)試：https://z.github.io  https://koajs.com/

大量用戶(hù)無(wú)法正常訪(fǎng)問(wèn)京東和GitHub：

從目前網(wǎng)上查詢(xún)的信息可以看到此次攻擊涉及最廣的是 GitHub.io，其次用戶(hù)訪(fǎng)問(wèn)京東等國(guó)內(nèi)知名網(wǎng)站亦會(huì)報(bào)錯(cuò)。查看證書(shū)信息可以發(fā)現(xiàn)這些網(wǎng)站的證書(shū)被攻擊者使用的自簽名證書(shū)代替，導(dǎo)致瀏覽器無(wú)法信任從而阻止用戶(hù)訪(fǎng)問(wèn)。自簽名證書(shū)顯示證書(shū)的制作者昵稱(chēng)為心即山靈，這位心即山靈看起來(lái)就是此次攻擊的始作俑者。所幸目前全網(wǎng)絕大多數(shù)網(wǎng)站都已經(jīng)開(kāi)啟加密技術(shù)對(duì)抗劫持，因此用戶(hù)訪(fǎng)問(wèn)會(huì)被阻止而不會(huì)被引導(dǎo)到釣魚(yú)網(wǎng)站上去。如果網(wǎng)站沒(méi)有采用加密安全鏈接的話(huà)可能會(huì)跳轉(zhuǎn)到攻擊者制作的釣魚(yú)網(wǎng)站，若輸入賬號(hào)密碼則可能會(huì)被直接盜取。

注 ：此QQ號(hào)從此前某數(shù)據(jù)庫(kù)里可檢索出使用者為某校高中生，不過(guò)尚不清楚是高中在校生還是已經(jīng)從該校畢業(yè)。

攻擊者可能是初學(xué)者正在進(jìn)行測(cè)試：

從攻擊者自簽名證書(shū)留下的這個(gè)扣扣號(hào)可以在網(wǎng)上搜尋到部分信息，信息顯示此前這名攻擊者正在學(xué)習(xí)加密技術(shù)。這名攻擊者還曾在技術(shù)交流網(wǎng)站求助他人發(fā)送相關(guān)源代碼，從已知信息判斷攻擊者可能是在學(xué)習(xí)后嘗試發(fā)起攻擊。但估計(jì)他也沒(méi)想到這次攻擊能涉及全國(guó)多個(gè)省市自治區(qū)的網(wǎng)絡(luò)訪(fǎng)問(wèn)，而且此次攻擊已經(jīng)持續(xù)四個(gè)小時(shí)還沒(méi)有恢復(fù)。另外從這名攻擊者如此高調(diào)行事的風(fēng)格來(lái)看也極有可能是初學(xué)者，畢竟此前嘗試大規(guī)模劫持的還在牢里沒(méi)出來(lái)呢。

被劫持的京東(圖片來(lái)自unixeno)

藍(lán)點(diǎn)網(wǎng)部分節(jié)點(diǎn)測(cè)試情況：

# 阿里云上海數(shù)據(jù)中心(BGP) curl -k -v   * Connected to z.github.io (185.199.108.153) port 443 (#0) * SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256 * ALPN, server did not agree to a protocol * Server certificate: * subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; [email protected] * start date: Sep 26 09:33:13 2019 GMT * expire date: Sep 23 09:33:13 2029 GMT * issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; [email protected] * SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway. > GET / HTTP/1.1 > Host: z.github.io > User-Agent: curl/7.52.1 > Accept: */* # 群英網(wǎng)絡(luò)鎮(zhèn)江數(shù)據(jù)中心(電信)curl -k -v   * About to connect() to z.github.io port 443 (#0) * Trying 185.199.110.153… * Connected to z.github.io (185.199.110.153) port 443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nSSDb * skipping SSL peer certificate verification * SSL connection using TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * Server certificate: * subject: [email protected],CN=SERVER,OU=NSP,O=COM,L=SZ,ST=GD,C=CN * start date: Sep 26 09:33:13 2019 GMT * expire date: Sep 23 09:33:13 2029 GMT * common name: SERVER * issuer: [email protected],CN=CA,OU=NSP,O=COM,L=SZ,ST=GD,C=CN > GET / HTTP/1.1 > User-Agent: curl/7.29.0 > Host: z.github.io > Accept: */* # 華為云香港數(shù)據(jù)中心(以下為正常連接的證書(shū)信息第41行) curl -k -v   * Rebuilt URL to:   * Trying 185.199.108.153… * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: C=US; ST=California; L=San Francisco; O=GitHub, Inc.; CN=  * start date: Jun 27 00:00:00 2018 GMT * expire date: Jun 20 12:00:00 2020 GMT * issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=DigiCert SHA2 High Assurance Server CA * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x556d826f6ea0) > GET / HTTP/1.1 > Host: z.github.io > User-Agent: curl/7.52.1 > Accept: */*