26 日-27 日,國內無法訪問 GitHub(從國外訪問正常,並且顯示證書頒發者不同於國內),同時京東等網站也相繼出現同一問題。目前受影響的主要是部分地區用戶,中國移動、中國聯通、中國電信以及教育網均可復現該問題。
目前 GitHub 的訪問已經恢復正常,但 GitHub 官方還未就此事說明情況。
根據各路網友的分析,GitHub 遭受了中間人攻擊,具體手段還未明,但這很有可能是基於 DNS 系統或運營商等基礎設施層面發起的攻擊,否則無法解釋如此廣泛的殺傷力。
中間人攻擊是什麼
引用 wikipedia 的介紹,中間人攻擊(Man-in-the-middle attack,MITM)在密碼學和計算機安全領域中是指攻擊者與通訊的兩端分別創建獨立的聯繫,並交換其所收到的數據,使通訊的兩端認爲他們正在通過一個私密的連接與對方直接對話,但事實上整個會話都被攻擊者完全控制。
在中間人攻擊中,攻擊者可以攔截通訊雙方的通話並插入新的內容。在許多情況下這是很簡單的(例如,在一個未加密的 Wi-Fi 無線接入點的接受範圍內的中間人攻擊者,可以將自己作爲一箇中間人插入這個網絡)。
一箇中間人攻擊能成功的前提條件是攻擊者能將自己僞裝成每一個參與會話的終端,並且不被其它終端識破。中間人攻擊是一個缺乏相互認證的攻擊。大多數的加密協議都專門加入了一些特殊的認證方法以阻止中間人攻擊。例如,SSL 協議可以驗證參與通訊的一方或雙方使用的證書是否是由權威的受信任的數字證書認證機構頒發,並且能執行雙向身份認證。
簡單來講就是指攻擊者在通訊兩端之間接管流量,攻擊者可以攔截通訊雙方的通話並篡改內容。想要接管流量,就需要攻擊者能將自己分別僞裝成通訊兩端,並且不被另一端識破,DNS 欺騙與會話劫持等都是常見中間人攻擊手段。
舉個淺顯易懂的例子,課堂上小明給小紅寫了一個小紙條,準備約她放學別走,他把紙條通過小三傳遞給小紅,然而小三心生嫉妒,模仿小明的字跡把小紙條的內容悄悄修改成“不想見到你”,小紅對此毫不知情,以爲就是小明的本意,這樣一段姻緣就結束了。這其中小三就是一個“中間人”,她的操作就是在執行“中間人攻擊”。
一般 DNS 欺騙與會話劫持等都是常見的中間人手段,並且從發起到利用,各種組合拳也多種多樣,相關的一些技術包括:
- 有線局域網下 ARP 投毒+中間人僞造 SSL 證書攻擊
- 有線局域網下 ARP 投毒+中間人 SSL 卸載攻擊
- 無線僞 AP+DHCP 配置
- SSLStrip 中間人嗅探
- 中間人攻擊+DNS 劫持+釣魚頁面+XSS 攻擊
- 基於 DNS 劫持的 SET 社會工程釣魚攻擊
- 基於中間人攻擊的會話劫持攻擊
- ……
姿勢特別多,甚至在上古時代,還有像 Kevin Mitnick 這樣的大神直接通過預測 TCP 序列號僞裝成通信兩端進行中間人攻擊的神級經典操作(相關協議已經修復該漏洞)。
中間人攻擊的一些相關項目與博客
前邊沒有展開更加具體的細節,關於中間人攻擊的更多信息、工具以及實踐等,OSC 網站上有一些相關內容可以查看,列舉幾例:
相關開源項目
BetterCap 是一個功能強大、模塊化、輕便的 MiTM 框架,可以用來對網絡開展各種類型的中間人攻擊,也可以實時操作 HTTP 和 HTTPS 流量。
一款針對 Android 的中間人攻擊測試工具,可實現數據嗅探、會話劫持、WiFi 終結與 DNS 欺騙等功能。
prn-2-me 能夠創建一個自定義的監聽器並僞裝成一個打印機。
還有很多。當然,像 Kali Linux、Burp Suite、nmap 和 Metasploit 等基礎性工具這裏就不贅述了。更多內容查看:https://www.oschina.net/project
相關博客
HTTPS 安全的一方面是因爲彌補了 HTTP 非加密傳輸的劣勢,而 HTTP 的這一劣勢也讓中間人攻擊更加容易發生。
HTTP 數據流是用明文方式傳輸數據,攻擊者可以利用局域網抓包等手段輕易獲取用戶與服務器的交互信息。
HTTPS 也不是絕對安全的,中間人可以獲取到客戶端與服務器之間所有的通信內容。
滿滿乾貨,帶你全面瞭解中間人攻擊測試框架 MITMf。
注:《中華人民共和國網絡安全法》《中華人民共和國計算機信息系統安全保護條例》等法律警告。請不要嘗試將技術用於非法行爲。