查看原文
其他

又出事了?网站被攻击了?高中生?

黎杜 非科班的科班 2020-09-07

北京时间2020年3月27日9点整,如往常一样来到公司,打开电脑,正准备打开Github网站看一会源代码,再开始手头的工作。哟吼,一直打不开,一直出现如下页面:

我想很多网友也尝到了甜头,各大技术群炸开了锅,据网友反馈有攻击者正在发起大规模的中间人挟持,京东和Github等网站等网站都受到了影响。

什么是中间中间人挟持呢?


简而言之,就是攻击者在数据网络传输的过程中,截获传输过程中的数据并篡改其中的内容。对于Http来说,不需要太多的步骤就可以监听和修改报文,Http是非常不安全的

但是Https使用了SSL加密协议,能够达到在网络中安全传输,为什么呢?因为Https中使用了对称加密和非对称加密的形式对数据和公钥进行了加密,并且利用第三方权威机构颁发CA证书,让伪造的过程变成非常困难。


从图中可以看出ssl证书伪造主要有以下几个步骤:


  1. 截获用户和服务器通信的通道

  2. 然后在用户与服务器进行通信的时候,中间人对于用户来说伪装成了服务器,对于服务器来说伪装成了客户端。

  3. 并获取到服务器真实有效的 CA 证书(非对称加密的公钥),获取到客服端的之后通信的密钥(对称加密的密钥)。

  4. 然后持续与客户端和服务器进行通信,具体的详细原理图如下:


更加详细的Http和Https的介绍请看着一篇文章[万字长文,一文搞懂TCP/IP和HTTP、HTTPS]。

印象中黑客都是神秘的,让人感觉就是技术非常厉害的样子,并且都带有一种贬义的情感色彩在里面,大部分人都觉得黑客就是攻击别人网站的人。

其实黑客分为白帽子黑客黑帽子黑客,在我们看到的每一个官方的网站后面都有一个网络安全部门,负责阻挡该网站被黑帽子黑客攻击,黑帽子黑客也叫做骇客,因为利益的诱惑走向了不归路。

阿里巴巴的安全团队的负责人吴瀚清。带领他们的安全团队,每天抵制网络黑客的16亿次攻击,国内37%的网络安全就是依靠吴瀚清和他的团队。

对于黑客除了有强大的网络知识以外,就是善于利用各种网络工具,最常用的就是抓包工具。

抓包工具一般都是用户主动将其设置成系统的网络访问代理服务器,使得所有的网络访问请求都通过它来完成,从而实现了网络封包的截取和分析。

对于其它工具则是利用 DNS欺骗ARP投毒劫持网关等手段,将客户端的请求重定向到攻击者的机器,以便进行网络抓包

访问Github时候,之所以会出现图一,因为我们在访问Github的时候,经过了中间人,然后中间人返回了他自己的自制的签名证书,是因为中间人使用的自制的签名证书,不被客户端的浏览器信任,所以访问网站的时候会出现安全警告。

什么又是签名证书呢?
签名证书总的一句话概括就是,告诉你是谁,就好像,在客户端与服务器之间进行通信的时候?客户端咋知道来信的那个到底是不是我要访问的那个服务器,就是通过签名证书证实的。

其中CA就是证书颁发机构权威机构,该机构是被所有浏览器信任的,就好像你信任银行,并把现金存入银行,让他帮你进行保管,CA的身份已经被操作系统信任了,并安装在证书的仓库里。

并且CA证书已经嵌入到客户端的浏览器,当拿到来访者的CA签名证书会与浏览器的签名证书进行比较,发现证书不是CA机构颁发,就会发出警告该网站不被信任,存在访问的安全隐患。

我们可以通过以下的方式进行查看本地浏览器的证书,打开设置->高级->管理证书,如下图所示:


另外还可以自制签名证书,可以安装在自己的浏览器上,实际上不建议大家使用自己生成的SSL证书,因为自己生成的SSL证书不安全。

自己生成SSL证书使用的是1024位 RSA 密钥,它是不安全的,各大浏览器均要求停止使用不安全的1024位加密算法

随意安装自签名的证书的安全风险大,一个机构如果将自己的根证书(自签名证书)潜伏在用户证书仓库里,随后颁发任何虚假证书,浏览器都会相信并与之建立安全加密通信,而用户压根觉察不到任何异常,这是很危险的!

据相关的报道该次的事件很有可能是初学者,只是可能在学习为了测试,但是没想到影响的规模这样大,导致大量用户无法正常访问京东和GitHub。


根据蓝点网站的信息爆出自签名证书显示证书的制作者昵称为心即山灵 (QQ 346608453),是否是该QQ的真是本人发起的攻击还在进一步的调查中。

图片来源于蓝点网

更加让人难以置信的是爆出该中间人可能是个高中生。这下让所有人都不安定了,现在的高中生都那么厉害的吗?
图片截取自蓝点网

对于没技术的我默默的留下了没技术的眼泪,反正我是没这种技术,真的是编程从孩子抓起。

这件事情的最关键点就是可能是初学者进行测试,导致的。但是缺乏正确的测试方法,和正式的领导,导致这样的后果,这个真的是让人有点欲哭无泪了。

图片截取自蓝点网

最后不管怎么样,技术是没有罪的,社会的进步和发展需要技术的支撑。但是对于初学者来说,在学习技术的过程中,需要正确的学习方式,和有成熟的技术人的正确的领导方式。

对于技术来说,我们应该心存敬畏之心,敬畏技术,而不是滥用它,为了谋取自己的私利,不择手段的滥用技术。心术不正之人,迟早会尝到恶果。

[往期精彩回顾]

[万字长文,一文搞懂TCP/IP和HTTP、HTTPS]

[Mysql优化提高笔记整理,来自于一位鹅厂大佬的笔记]

[B树、B-树、B+树、B*树图文详解]

[万字长文,最硬核的mysql知识总结]

[为了把mysql的索引底层原理讲清楚,我把计算机翻了个底朝天]

[还在学JVM?我都帮你总结好了(附脑图)]

Modified on

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存