从2016年1月1日起,哈萨克斯坦网民将需要依法安装国家安全证书,政府推行国家安全证书的理由是保护访问外国网站的哈萨克用户,但这事实上是对所有HTTPS流量发动中间人攻击。今天,越来越多的网站为保护用户隐私和防止监视开始使用HTTPS,加密用户与服务器之间的连接。中国曾经发生过多次伪造证书的中间人攻击(如一,二)。
原文链接(已删除):http://telecom.kz/en/news/view/18729
Google Cache上的页面: http://webcache.googleusercontent.com/search?q=cache:iNgneBgLnIUJ:telecom.kz/en/news/view/18729+&cd=1&hl=en&ct=clnk&gl=us
打不开谷歌缓存页面的,请看下一页的文字内容:https://www.icocean.com/blog/?p=4550&page=2
在GitHub遭受的大规模DDoS攻击中,攻击者创造性的劫持了百度的JS数据包,让大约1%访问嵌入百度JS的海外中国网站访问者成为DDoS大军中的一员。攻击者是如何做到的,如何确定这与百度无关?网络中传输的数据包是有寿命的,为了防止数据无限循环,名为存活时间(Time to live,TTL)或跳数限制(hop limit)的机制限定了数据包的寿命。一旦寿命结束,数据包将会被丢弃。在这次攻击中,恶意数据包和合法分析代码的TTL值是不同的。如图所示,合法SYN+ACK 数据包的TTL是42跳,攻击者注入的三个恶意数据包的TTL分别是227、228和229跳。SYN+ACK数据包源自百度服务器,而注入的数据包则来自其它地方。在外界注意到TTL值的差异后,攻击者显然改变了策略,在最新劫持新浪JS文件的攻击中,TTL的值没有发生变化。此次劫持发生在今天。GitHub的服务已经完全恢复了正常。
陈少举 写道 “去年一月份,GitHub遭受到的国家级的SSL中间人攻击,在今年八月份,教育网的Google IPv6访问也遭受到了同样的SSL中间人攻击。而在今天,Yahoo也遭受到了SSL中间人攻击。今天(2014-09-30)下午四点左右,GreatFireChina观察到Yahoo在中国大陆遭受到了SSL中间人攻击,浏览器发出了证书错误的警告。
可能由于流量过大导致SSL劫持设备资源消耗过于厉害,一些地区间歇性无法通过HTTPS访问Yahoo。在使用其他地区的VPS进行访问后,通过分析伪造的SSL证书,与之前Google IPv6所遭受的SSL攻击所使用的证书有多处相似:使用相同的签名算法和签名哈希算法、颁发者均以 C=cn 结尾,有效期均为一年,公钥均为RSA 1024 Bits,并且 Netscape Comment 同为“example comment extension”。
而根据抓包结果,在遭受SSL中间人攻击时,使用的是TLSv1协议,但是未被SSL中间人攻击的情况下,应为TLSv1.2,这一点也和Google在教育网的IPv6地址遭受SSL中间人攻击的现象一致。
截至到目前,此次SSL中间人攻击仅影响各个国家的Yahoo主站,并未影响到包括登录(login.yahoo.com)、邮箱(mail.yahoo.com)等网址。”
WIN2000的时候ARP -S命令设置的STATIC ARP ENTRY还是经常被人ARP SPOOFING,最近实验WIN2003的ARP -S终于可以
锁定ARP项再也不怕网络执法官这些软件了。
该病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个
网吧均会造成影响,用户表现为上网经常瞬断。 Continue reading »
Google开始向Gmail用户警告国家资助的攻击,这不是Google第一次警告Gmail用户。两年前,Google为Gmail增加了检测可疑帐户活动功能, 如果检测到异常IP访问,它会向用户发出警告。
在最新的安全警告中,Google表示:“如果您是通过 Gmail 收件箱上方显示的警告转到此页面,我们认为国家资助的攻击者可能正在试图盗用您的帐户或攻击您的计算机。您收到的电子邮件很可能包含恶意附件、下载恶意软 件的链接或指向旨在窃取您的密码或其他个人信息的伪网站链接。例如,攻击者通常会发送包含恶意内容的 PDF 文件、Office 文档或 RAR 文件。我们强烈建议您不要点击可疑邮件中的链接或附件。”
伊朗Gmail用户报告发现了DigiNotar公司发行的伪造Gmail CA证书,它可能被用于发动中间人攻击。DigiNotar的母公司Vasco 30日发表声明承认遭黑客入侵。
Vasco称,DigiNotar是在7月19日检测到CA基础系统遭入侵,黑客为包括Google.com在内的多个网站发行了伪造CA证书。此后,DigiNotar立即按照既定规则采取行动,立即撤销所有伪造证书。但最近的事件显示,至少有一个伪造证书在当时没被撤销。该公司表示将采取一切可能的预防措施确保CA安全,目前将暂停CA证书销售。
Google和Mozilla都分别为Chrome和Firefox发布补丁移除了DigiNotar root CA,微软也将为Windows XP、Windows Server 2003、Windows Vista、Server 2008、Windows 7和Server 2008 R2发布补丁,将其列入不信任CA名单。 Continue reading »
2011-06-03 IT商业新闻网
6月2日消息,据国外媒体报道,美国搜索引擎巨头谷歌周三表示,其遭受到疑似来自中国黑客的攻击。中方则回应称“不能接受”这样的罪名。
谷歌安全团队的工程负责人Eric Grosse在公司博客上表示,来自中国济南的攻击,试图窃取部分Gmail邮箱账户的密码和监控邮件内容,受影响的用户包括美国政府高级官员、中国政治活动人士、几个亚洲国家(主要是韩国)的政府官员、军界人士以及新闻记者。
谷歌称,公司发现并阻止了这一行为,并已通知受害者和相关政府。 Continue reading »
虚拟主机服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux 系统本身提供的防火墙功能来防御。
抵御SYN SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。
Linux内核提供了若干SYN相关的配置,用命令: sysctl -a | grep syn 看到:
net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN队列的长度,tcp_syncookies是一个开关,是否打开SYN Cookie 功能,该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN 的重试次数。加大SYN队列长度可以容纳更多等待连接的网络连接数,打开SYN Cookie功能可以阻止部分 SYN攻击,降低重试次数也有一定效果。 Continue reading »
