Github疑似被中间人劫持，网友反映证书错误

昨天，有网友反映Github网站无法访问。怀疑是攻击者大规模发起了中间人劫持。除了Github网站，京东、koajs等其他网站似乎也受到了影响。这种攻击似乎是通过骨干网劫持443端口。经测试，DNS系统解析完全正常。目前，受影响的主要是部分地区的用户，涉及所有运营商，如中国移动、中国联通、中国电信、教育网等。劫持问题可以重现，从外网访问这些网站没有异常。由于攻击者使用的自签名证书不受所有操作系统和浏览器的信任，因此用户在访问这些网站时可能会遇到安全警告。截至3月27日12:00，根据Bluedot.com部分信息的动态更新，有网友反映Github网站无法访问，攻击规模似乎进一步扩大。从目前网上查询的信息可以看出，此次攻击涉及面最广的是GitHub.io。查看证书信息可以发现，这些网站的证书被攻击者使用的自签名证书替换，导致浏览器不可信任，用户无法访问。图片来自更换自签名证书邮箱前的v2ex网友。显示该证书的创建者昵称新指山灵（QQ346608453）。这心之山岭，似乎就是这次袭击的始作俑者。好在全网绝大多数网站都启用了加密技术来抵抗劫持，所以用户访问会被拦截，不会被导向钓鱼网站。如果网站没有使用加密的安全链接，可能会跳转到攻击者制作的钓鱼网站，如果输入账号密码，可能会直接被盗取。图片来自知乎网友中间人攻击（简称MITM）是指攻击者接管通信两端的流量。攻击者可以拦截双方的通信，篡改内容。简而言之，所谓中间人攻击就是拦截正常的网络通信数据，在通信双方不知道的情况下进行数据篡改和嗅探。后续信息，本文将持续跟进。附上部分节点测试结果阿里云上海数据中心（BGP）：curl-k-vhttps://z.github.io*Connectedtoz.github.io(185.199.108.153)port443(#0)*SSLconnectionusingTLSv1.2/ECDHE-ECDSA-AES128-GCM-SHA256*ALPN,serverdidnotagreetoaprotocol*Servercertificate:*subject:C=CN;ST=GD;L=SZ;O=COM;OU=NSP;CN=SERVER;emailAddress=346608453@qq.com*开始日期:Sep2609:33:132019GMT*expiredate:Sep2309:33:132029GMT*issuer:C=CN;ST=GD;L=SZ;O=COM;OU=NSP;CN=CA;emailAddress=346608453@qq.com*SSLcertificateverifyresult:selfsignedcertificateincertificatechain(19),continuinganyway.>GET/HTTP/1.1>Host:z.github.io>User-Agent:curl/7.52.1>Accept:*/*群英镇江数据中心（电信）：curl-k-vhttps://z.github.io*RebuiltURLto:https://z.github.io/*Trying185.199.108.153...*SSLconnectionusingTLSv1.2/ECDHE-RSA-AES128-GCM-SHA256*ALPN,serveracceptedtouseh2*服务器证书：*主题：C=US;ST=California;L=SanFrancisco;O=GitHub,Inc.;CN=www.github.com*startdate:Jun2700:00:002018GMT*expiredate:Jun2012:00:002020GMT*issuer:C=US;O=DigiCertInc;OU=www.digicert.com;CN=DigiCertSHA2HighAssuranceServerCA*SSLcertificateverifyok.*UsingHTTP2,serversupportsmmulti-use*Connectionstachanged(HTTP/2confirmed)*CopyingHTTP/2datainstreambuffertoconnectionbufferafterupgrade:len=0*HTTPUsingStreamID:1(easyhandle0x556d826f6ea)z(easyhandle0x556d826f6ea)z(easyhandle0x556d826f6ea)z(easyhandle0x556d826f6ea)用户curl/7.52.1>Accept:*/*华为云香港数据中心（以下为正常连接证书信息第44行）：curl-k-vhttps://z.github.io*RebuiltURLto:https://z.github.io/*Trying185.199.108.153...*SSLconnectionusingTLSv1.2/ECDHE-RSA-AES128-GCM-SHA256*ALPN,serveracceptedtouseh2*Servercertificate:*subject:C=US;ST=California;L=旧金山；O=GitHub,Inc.；CN=www.github.com*开始日期：Jun2700:00:002018GMT*过期日期：Jun2012:00:002020GMT*发行人：C=US；O=DigiCertInc；OU=www.digicert.com;CN=DigiCertSHA2HighAssuranceServerCA*SSLcertificateverifyok.*UsingHTTP2,serversupportsmmulti-use*Connectionstatechanged(HTTP/2confirmed)*CopyingHTTP/2datainstreambuffertoconnectionbufferafterupgrade:len=0*UsingStreamID:1(easyhandle0x556d826f6ea0)>GET/HTTP/1.1>Host:z.github.io>User-Agent:curl/7.52.1>Accept:*/*