过去三个月发生的事情充分显示,过滤入境流量的防御性的大防火墙正逐步演变成
进攻性的大炮。
首先是使用真实的IP地址污染域名,让无辜的网站或服务器遭受DDoS攻击;然后是选择性的劫持百度的出境流量,替换恶意代码攻击GitHub。这种攻击
方法已被命名为“大炮”,研究员Nicholas
Weaver说,它选择性的丢弃发送给百度服务器的请求,伪造恶意响应包回应。此类的攻击并非没有先例,NSA有一个叫
QUANTUM系
统,能向个别目标注入内容和修改Web结果。Weaver指出,中国可以辩解称美国在过去也做过类似的事情,不过美国没有以这种方法发动大规模的DDoS
攻击。Weaver称,这一攻击带来的教训是它演示了加密的必要性,使用HTTPS能阻止攻击。但加拿大公民实验室的 Bill
Marczak认为,启用加密未必能有效遏制这种攻击。公民实验室发布了“大炮”的
详细技术分析报告,
指出此次攻击是由一个独立的系统——也就是“大炮”——发动的。大炮与GFW不同,它是一个路内系统(in-path
system,GFW是旁路系统),不仅仅能注入流量,而且能直接压制流量。它不主动检查所有的链路流量,而只是拦截一组目标地址的流量,可能是通过减少
数据流让系统能及时处理。它只检查个别的数据包去判断是否采取行动,避免TCP字节流重组装的计算开销。大炮和GFW在许多方面也具有相似性:多进程集
群,共享代码。在针对GitHub的攻击中,大炮只劫持了
1.75%的百度境外流量。研究人员利用TTL技术去定位大炮的位置,观察到它是处于17跳到18跳(不同位置跳数有差异)之间,与GFW是同一链路,属
于中国联通,这与先前的分析相同。
