上月底,代码保管网站GitHub遭受大流量DDoS攻击。攻击者绑架baidu广告联盟的JS脚本并将其更换成虚拟恶意代码,终使用拜访我国网站的海外用户对GitHub发动大规模分布式拒绝服务攻击。google近日宣布了对于这次攻击的剖析陈述,复原了全部攻击的全过程。
google的Safe Browsing每天会扫描剖析数百万个网页,从中找出虚拟恶意内容。Safe Browsing并不是从网络流量方面进行剖析,而是从HTTP协议层面。
本来JS绑架攻击早发作在三月初,而不是咱们认为三月中下旬。依据google3月1日到4月15日收集到的数据,Safe Browsing初次发现baidu域名绑架是在3月3日,而终一次是在4月7日。
期间
这次攻击的履行是分多个期间进行,期间是测验期间,测验时刻为3月3日到3月6日,初次测验的方针IP地址为114.113.156.119:56789(北京电信通),可是天的恳求次数被人为设了约束,以后两天恳求约束就被移除了。
第二期间
第二期间的时刻是3月10日到3月13日,方针IP地址为203.90.242.126(香港)。3月13日时,攻击扩展到了d1gztyvw1gvkdq.cloudfront.net。刚开端的时候恳求是经过HTTP宣布的,后来晋级到了HTTPS。3月14日开端一起经过HTTP和HTTPS攻击d3rkfw22xppori.cloudfront.net(greatfire.org使用亚马逊cloudfront搭建的一个屏蔽网站镜像),并于3月17日中止了攻击。
第三期间
3月18日,被攻击的域名规模进一步扩展,包括:d117ucqx7my6vj.cloudfront.net、 d14qqseh1jha6e.cloudfront.net、d18yee9du95yb4.cloudfront.net、d19r410x06nzy6.cloudfront.net、d1blw6ybvy6vm2.cloudfront.net。
这也是初次发现截断写入(truncated injections),JS被彻底切断。在这一期间中,cloudfront主机开端向greatfire.org等域名建议302重定向(302 redirects)。JS内容更换在3月20日彻底中止,但HTTP写入还在继续。JS内容更换会破坏原内容功用,但HTTP写入不会。
在这一技能中,web浏览器两次获取了一样的HTML页面,可是因为查询参数中的“t”参数,所以第二恳求中没有写入。被攻击的域名随时都在改变中,在这一期间中就变为了dyzem5oho3umy.cloudfront.net、d25wg9b8djob8m.cloudfront.net 和28d0hakfq6b4n.cloudf ront.net。该期间攻击大概开端10个小时以后,咱们在另一域名上检测到了302重定向。
中止对cloudfront主机的攻击,转向GitHub
对cloudfront主机的攻击于3月25日中止,而Github变成新的攻击方针。个新方针是github.com/greatfire/wiki/wiki/nyt/,紧接着是github.com/greatfire/和github.com/greatfire/wiki/wiki/dw/。
3月26日,baidu的明文脚本被阻拦更换了一个虚拟恶意JS代码,攻击github.com/greatfire/和github.com/cn-nytimes/,4月7日攻击中止。
本文由郑州网站建设公司-汉狮网络 www.ihanshi.com 整理发布,转载请注明
