據(jù)藍點網(wǎng)網(wǎng)友反饋，有攻擊者正在大規(guī)模的發(fā)起中間人攻擊劫持京東和 GitHub 等網(wǎng)站。此次攻擊很有可能是基于 DNS 系統(tǒng)或運營商層面發(fā)起的，目前受影響的主要是部分地區(qū)用戶但涉及所有運營商。例如中國移動、中國聯(lián)通、中國電信以及教育網(wǎng)均可復(fù)現(xiàn)劫持問題，而國外網(wǎng)絡(luò)訪問這些站點并未出現(xiàn)異常情況。

由于攻擊者使用的自簽名證書不被所有操作系統(tǒng)以及瀏覽器信任，因此用戶訪問這些網(wǎng)站時可能會出現(xiàn)安全警告。從目前攻擊情況來看此次發(fā)起攻擊的黑客很可能是初學(xué)者，而攻擊目的很有可能只是在測試但沒想到規(guī)模如此大。讀者可以點擊以下鏈接進行測試：https://z.github.io  https://koajs.com/

大量用戶無法正常訪問京東和GitHub：

從目前網(wǎng)上查詢的信息可以看到此次攻擊涉及最廣的是 GitHub.io，其次用戶訪問京東等國內(nèi)知名網(wǎng)站亦會報錯。查看證書信息可以發(fā)現(xiàn)這些網(wǎng)站的證書被攻擊者使用的自簽名證書代替，導(dǎo)致瀏覽器無法信任從而阻止用戶訪問。自簽名證書顯示證書的制作者昵稱為心即山靈，這位心即山靈看起來就是此次攻擊的始作俑者。所幸目前全網(wǎng)絕大多數(shù)網(wǎng)站都已經(jīng)開啟加密技術(shù)對抗劫持，因此用戶訪問會被阻止而不會被引導(dǎo)到釣魚網(wǎng)站上去。如果網(wǎng)站沒有采用加密安全鏈接的話可能會跳轉(zhuǎn)到攻擊者制作的釣魚網(wǎng)站，若輸入賬號密碼則可能會被直接盜取。

注 ：此QQ號從此前某數(shù)據(jù)庫里可檢索出使用者為某校高中生，不過尚不清楚是高中在校生還是已經(jīng)從該校畢業(yè)。

攻擊者可能是初學(xué)者正在進行測試：

從攻擊者自簽名證書留下的這個扣扣號可以在網(wǎng)上搜尋到部分信息，信息顯示此前這名攻擊者正在學(xué)習(xí)加密技術(shù)。這名攻擊者還曾在技術(shù)交流網(wǎng)站求助他人發(fā)送相關(guān)源代碼，從已知信息判斷攻擊者可能是在學(xué)習(xí)后嘗試發(fā)起攻擊。但估計他也沒想到這次攻擊能涉及全國多個省市自治區(qū)的網(wǎng)絡(luò)訪問，而且此次攻擊已經(jīng)持續(xù)四個小時還沒有恢復(fù)。另外從這名攻擊者如此高調(diào)行事的風(fēng)格來看也極有可能是初學(xué)者，畢竟此前嘗試大規(guī)模劫持的還在牢里沒出來呢。

被劫持的京東(圖片來自unixeno)

藍點網(wǎng)部分節(jié)點測試情況：

# 阿里云上海數(shù)據(jù)中心(BGP) curl -k -v   * Connected to z.github.io (185.199.108.153) port 443 (#0) * SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256 * ALPN, server did not agree to a protocol * Server certificate: * subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; [email protected] * start date: Sep 26 09:33:13 2019 GMT * expire date: Sep 23 09:33:13 2029 GMT * issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; [email protected] * SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway. > GET / HTTP/1.1 > Host: z.github.io > User-Agent: curl/7.52.1 > Accept: */* # 群英網(wǎng)絡(luò)鎮(zhèn)江數(shù)據(jù)中心(電信)curl -k -v   * About to connect() to z.github.io port 443 (#0) * Trying 185.199.110.153... * Connected to z.github.io (185.199.110.153) port 443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nSSDb * skipping SSL peer certificate verification * SSL connection using TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * Server certificate: * subject: [email protected],CN=SERVER,OU=NSP,O=COM,L=SZ,ST=GD,C=CN * start date: Sep 26 09:33:13 2019 GMT * expire date: Sep 23 09:33:13 2029 GMT * common name: SERVER * issuer: [email protected],CN=CA,OU=NSP,O=COM,L=SZ,ST=GD,C=CN > GET / HTTP/1.1 > User-Agent: curl/7.29.0 > Host: z.github.io > Accept: */* # 華為云香港數(shù)據(jù)中心(以下為正常連接的證書信息第41行) curl -k -v   * Rebuilt URL to:   * Trying 185.199.108.153... * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: C=US; ST=California; L=San Francisco; O=GitHub, Inc.; CN=  * start date: Jun 27 00:00:00 2018 GMT * expire date: Jun 20 12:00:00 2020 GMT * issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=DigiCert SHA2 High Assurance Server CA * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x556d826f6ea0) > GET / HTTP/1.1 > Host: z.github.io > User-Agent: curl/7.52.1 > Accept: */*