警告！穿牆嗰陣咪訪問百度同內置百度聯盟廣告嘅支那大陸網站！否則妳部電腦極有可能成咗畀GFW控制嘅肉雞！

警告！穿牆嗰陣咪訪問百度同內置百度聯盟廣告嘅支那大陸網站！否則妳部電腦極有可能成咗畀GFW控制嘅肉雞！


支那大陸穿墻者被劫持爲黑客 Github遭遇史上最大攻擊

2015年3月30日

IT技術人員的聖地Github正在受到該論壇史上最大的網絡攻擊，Github日前在其博客上公開說。各方分析顯示，此次攻擊來自中國，且攻擊技術高超：基本上，中國的翻墻者正在無意識中被劫持加入網絡攻擊，成爲肉鶏。Github在博客中表示，此次攻擊是“爲了迫使其删除一些內容”。據分析認爲，此次攻擊具體是針對網絡自由組織GreatFire等在Github上提供的免翻墻信息服務，但影響到了整個Github。

3月30日，在中國外交部的例行記者會上，當記者問到最近的網絡攻擊是否來自中國時，交部發言人華春瑩幷未“否認”，也爲對此作出正面回答，强調“中國是黑客攻擊最主要的受害者之一”：

近期似乎只要是美國或者其他哪個國家有網站受到攻擊，就會有人聯想是不是中方黑客所爲，這很奇怪。我想提醒你，中國是網絡黑客攻擊的最主 要的受害者之一。我們一直强調，中方希望同國際社會一道，加快制訂國際規範，共同維護好網絡空間的和平、安全、開放與合作。希望各方都能以積極、建設性態 度合作應對網絡黑客攻擊問題。

翻墻上百度，網民變黑客

據推特消息，北京時間3月27日12時左右開始，從境外訪問v.baidu.com的時候被發現會出現Javascript alert出現的彈窗：WARNING: malicious javascript detected on this domain 。追查發現是百度廣告管家的jshttp://cbjs.baidu.com/js/m.js?_=1427431567741在境外訪問時被替換成一段特殊的js（詳細請求和返回的js）。

分析認爲，大致的流程就是： 1. GFW把某些常見網站的JS替換成以上js。2. 全球各地訪問國內網站時，相當于成爲DDoS的源（可能還有全國各地訪問國外時，未經確認）3. GitHub不堪重負，把https://github.com/greatfire/ 和https://github.com/cn-nytimes/ 的返回改成一個alert: WARNING: malicious javascript detected on this domain （網站存在惡意JS代碼調用）。當境外用戶訪問內置境內一些網站如百度的JS調用的網站時，中國的國家防火墻GFW將這部分調用替換成重定向至目標網站，以調用民用流量的方式，實現對目標網站的DDOS攻擊。GreatFire在3月中曾遭到來自中國的DDoS攻擊。針對此次攻擊，Greatfire正在進行調查。

技術人士@yegle 認爲，用js來實現攻擊遠勝過早年利用DNS污染的DDOS攻擊，只損失了百度的revenue，但能實現單頁面反復攻擊多個目標。爲什麽要劫持百度來攻擊GITHUB呢？ Larry Salibra認爲：1. 這方式的優點是可以無需劫持大量電腦，也可以讓網站訪客在不自覺的情况下成了攻擊行動的幫凶; 2. 讓人産生攻擊是來自中國境外的錯覺 3. 希望透過服務供應商向外國媒體施壓，删除中共官方不喜歡的內容。

其實不一定需要訪問百度，中國國內一些論壇等網站都被植入了百度聯盟廣告，GFW給他們的 JS 插入了攻擊代碼，用戶讀取之後就去攻擊 GitHub 了。國內用戶訪問百度不經過GFW，只有翻墻者會被變成攻擊者。

另有推特網友分析指，“一個真正的海外用戶，首選搜索引擎應該是穀歌而不是百度。那麽，來自海外IP對百度的訪問，多數應該是通過代理翻墻的境內用戶。這樣GFW就可以收集很多用戶的代理IP，幷且通過搜索行爲等判斷是否翻墻。估計又會有很多VPN和翻墻軟件會失效”。

翻墻者@bitinn 表示： 利用平民上網的正常流量進行DDoS已經成爲中國全新的政治武器。新的被害者是：GitHub。換而言之，我們已經從Defensive（防衛）變爲Offensive（攻擊）了。百度攻防安全實驗室官方微博28日上午否認此次攻擊與自身安全性有關，稱：“百度安全工程師經過仔細排查，已經排除自身産品的安全問題和黑客攻擊的可能。我們也已經向其他網絡安全機構通報情况，共同對相關問題進行進一步診斷”。如若屬實，當可確認攻擊來自GFW。

有分析認爲，無論攻擊臉書還是GitHub，終極目標都是逼迫對方自我審查。臉書在去年六月二十日遭受GFW發起的核彈流量攻擊之後，扎克伯格桌上驚現“習近平著作”。迫使GitHub“下架”翻墻軟件，是昨天攻擊行爲的最合理解釋。

有網友指出應對方法，屏蔽所有百度的JS代碼：在Chrome的設置->顯示高級設置->隱私設置->內容設置->JavaScript->管理例外情况中，輸入百度的網址（需要通配符，如圖），再將行爲設置爲禁用即可：Chrome://settings/contentExceptions#javascript。

另有技術高手提供了技術支持：多種系統的一鍵吊銷中國證書工具。全球網絡攻擊地圖顯示，目前的主要攻擊均是從中國大陸發起，到美國(和加拿大)的TCP(SYN)連接。

到截稿爲止，對Github的攻擊仍在持續中。3月30日，Github在推特上表示，攻擊的方法已經轉變，該網站在全力對抗。

中國互聯網絡信息中心發布中間人攻擊證書

就在此前，3月25號，“中國的網絡審查網站”（greatfire.org）發布聲明稱，從他們掌握的具體證據看，中國互聯網絡信息中心（CNNIC）和網信辦（CAC）參與了攻擊全球電子信息巨頭如穀歌、微軟以及火狐的行動，該證書冒充成受信任的穀歌的域名，被用于部署到網絡防火墻中，用于劫持所有處于該防火墻後的HTTPS網絡通信，而繞過瀏覽器警告。greatfire提醒有關互聯網企業加强互聯網防範措施，幷再次呼籲穀歌、Mozilla、微軟和蘋果立即取消對CNNIC的信任，以保護全球網民的用戶信息。

穀歌和Mozilla（火狐）分別公開了這一安全事件，就此分別發表了博客文章(Google, Mozilla)。但穀歌與Mozilla有關CNNIC發布中間人攻擊證書文章的中文翻譯，則在中國被勒令删除了。

23日，穀歌公司一名網絡安全專家在其公司的博客專欄發表博文寫道，中國互聯網絡信息中心以及一家被稱爲MCS的控股公司，爲一些穀歌網址分發了沒有得到授權的電子認證，”而這些被濫用的電子認證則被幾乎所有的瀏覽器以及操作系統接受”。這名穀歌的網絡安全專家將這一結果描述爲互聯網認證管理系統裏的”軟肋”。次日，微軟以及火狐等公司均發表了聲明，稱他們將取消所有MCS發放的認證。

具有攻擊性的墻

有推特網友表示，習近平上臺以後儘管網絡管制思路跟之前一致，但野了很多。從3月中旬以來，CNNIC頒發官方假證書進行中間人攻擊、GFW劫持全球網絡流量發動DDoS攻擊、强調網絡主權等等的事，如果從積極方面看的話，那就是在當局看來，單純的砌墻防禦已經不够用了，翻墻途經越來越多，不主動出擊就是等死。

有不少人曾傳，中國的防火墻將會在今年4月完成升級。雖然目前該消息幷未得到證實，細節也尚未浮出水面，但3月以來這些變化顯示，墻不再是單純的保守封鎖，已淪爲攻擊武器，還要利用翻墻者的積極性調用民間流量，讓抗爭者在不知不覺中充當槍手。但翻墻者不是純粹的無畏派，幷非只有搭梯子一種技能，拒絕做肉鶏以及如何對越來越流氓的GFW發起反擊是急需考慮的內容，雖然目前只能見招拆招。

2015年03月31日

近日，美国代码托管网站Github遭受了持续的大规模网路流量攻击，这些流量源自中国最知名的搜索引擎百度，而攻击者的主要意图是迫使GitHub移除反审查项目Greatfire。目前，百度否认自己卷入该攻击事件。

据GitHubStatus页面显示，Github自从3月26号开始遭到了持续的DDOS攻击。目前攻击已超80小时，而且仍未停止。

据了解，总部位于旧金山的GitHub Inc。为全球程序员和大型科技公司的软体开发提供服务。而这次针对GitHub发起的网路攻击者，先后使用了四种DDoS技术攻击：

第一波是创造性的劫持百度JS文件利用中国海外用户的浏览器每2秒向托管在GitHub上的两个反审查项目发出请求，这一手段被GitHub用弹出JS警告防住。

第二轮是跨域攻击，被GitHub检查Referer挡住。

第三波是DDoS攻击GitHub Pages。

第四波是正在进行中的TCP SYN洪水攻击，利用TCP协议缺陷发送大量伪造的TCP连接请求，让GitHub耗尽资源。

安全专家们称，这种流量攻击，即业界所称的分散式阻断服务攻击(DDoS)。这次攻击将中国搜索引擎巨头百度(Baidu Inc.)的大量海外用户流量引导至GitHub，导致GitHub网站不时陷入瘫痪。

《华尔街日报》03月30日的相关报导引述安全专家们表示，GitHub这次遭受的网路攻击，或意味着中共正试图封锁那些能绕过反审查制度的工具，凸显出中共的互联网审查机构，〝正日益把审查范围扩大至国外，来封锁他们认为不当的内容〞。

报导称，中共国家互联网信息办公室周日未回应该报记者的置评请求。而中国最大的搜索引擎百度则声称自己并未卷入该攻击事件，公司系统也未被渗透。