工单节点使用指南 请用平和的语言准确描述你所遇到的问题 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
这次 GitHub 中间人攻击,个人分析并不是七层精准劫持,而只是在第四层做了攻击。
villivateur 2020-03-27 10:55:07 +08:00 6839 次点击这是一个创建于 2072 天前的主题,其中的信息可能已经有所发展或是发生改变。
我先获取 GitHub 的 ip:
> nslookup github.com 8.8.8.8 Server: dns.google Address: 8.8.8.8 Name: github.com Address: 13.229.188.59 这个 ip 是没问题的,位于新加坡的 Amazon,应该是个 CDN
然后测试证书:
$ openssl s_client -showcerts -servername github.com -connect 13.229.188.59:443 CONNECTED(00000005) depth=1 C = CN, ST = GD, L = SZ, O = COM, OU = NSP, CN = CA, emailAddress = [email protected] verify error:num=19:self signed certificate in certificate chain --- Certificate chain 0 s:C = CN, ST = GD, L = SZ, O = COM, OU = NSP, CN = SERVER, emailAddress = [email protected] i:C = CN, ST = GD, L = SZ, O = COM, OU = NSP, CN = CA, emailAddress = [email protected] 省略…… 就是那个诡异的 QQ 号证书。
我再找个 cloudflare 的 ip 试试( GitHub 没有使用 cloudflare 的 CDN )
$ host v2ex.com v2ex.com has address 104.20.9.218 v2ex.com has address 104.20.10.218 v2ex.com has IPv6 address 2606:4700:10::6814:ada v2ex.com has IPv6 address 2606:4700:10::6814:9da 同样测试证书,SNI 为 github.com ,没有被劫持:
$ openssl s_client -showcerts -servername github.com -connect 104.20.9.218:443 CONNECTED(00000005) depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO ECC Certification Authority verify return:1 depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO ECC Domain Validation Secure Server CA 2 verify return:1 depth=0 CN = ssl509603.cloudflaressl.com verify return:1 --- Certificate chain 0 s:CN = ssl509603.cloudflaressl.com i:C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO ECC Domain Validation Secure Server CA 2 -----BEGIN CERTIFICATE----- 省略…… 各位怎么看?
第 1 条附言 2020-03-27 11:27:52 +08:00
现在那个 ip 好像部分恢复了,广州阿里云测试,没有证书劫持,但是其他一些地区访问超时
 | 1 TrustTheBoy 2020-03-27 11:12:40 +08:00 此事必有蹊跷 |
 | 2 westjt 2020-03-27 11:17:32 +08:00 嗯, 看来就是针对固定目标 ip 的一个固定的劫持. |
 | 3 7654 2020-03-27 11:19:29 +08:00  1 我在想 V2+TLS+WS 还安全吗,毕竟拿 GitHub 做文章 |
 | 4 fuchunliu 2020-03-27 11:28:42 +08:00 via Android 为啥访问速度变快了 |
 | 5 pdfgo 2020-03-27 11:32:06 +08:00 1 哎 被迫学习网络知识 心累 |
 | 7 MeteorCat 2020-03-27 11:35:46 +08:00 via Android 现在访问 github 显示超时 |
 | 8 ZRS 2020-03-27 11:37:12 +08:00 via iPhone @imn1 托管在 github pages 上的都被攻击了 包括 cython.org 等 |
 | 9 AoTmmy 2020-03-27 11:41:48 +08:00 via Android 你普通走 53 到 8.8.8.8 的 dns 应该是被劫持的,起码找个 doh 的测试吧 |
 | 12 Hpp19 2020-03-27 11:45:27 +08:00 clone 感觉快了 |
 | 13 villivateur OP @AoTmmy 不是啊,IP 是没问题的 |
 | 14 DonaidTrump 2020-03-27 12:57:45 +08:00 via iPhone @7654 你想出来了嘛? |
 | 15 yason 2020-03-27 13:01:18 +08:00 IP 没问题,返回结果却是另一台服务上的假数据。这貌似是 BGP 劫持吧? |
| 17 AoTmmy 2020-03-27 13:30:06 +08:00 via Android @villivateur 但是你试过国外解析出来的 IP 吗,你这虽然用的是 8.8.8.8,但这是国内劫持出来的 ip,控制变量法 |
 | 18 mason961125 2020-03-27 13:32:00 +08:00 RFC 5575 - Dissemination of Flow Specification Rules https://tools.ietf.org/pdf/rfc5575.pdf |
 | 19 shansing 2020-03-27 13:44:41 +08:00 说不定只是对特定 IP 的七层劫持呢?你应该用 13.229.188.59:443 发送非 github SNI 排除一下。 |
| 20 villivateur OP @shansing 确实。但是现在恢复了,测不了了 |
 | 21 Andy00 2020-03-27 14:51:15 +08:00 @villivateur 8.8.8.8 在好多地方已经被劫持了,直接省一级节点抢答 DNS 查询 |
Select Language