一些网站https证书出现问题的情况分析
2020.03.29 10:11:117600人已看

20200326下午,有消息说[1]github的TLS证书出现了错误告警。证书的结构很奇怪,在其签发者信息中有一个奇怪的email地址:346608453@qq.com。明显是一个伪造的证书。

为了弄清楚其中的情况,我们对这一事件进行了分析。

DNS劫持?

出现证书和域名不匹配的最常见的一种情况是DNS劫持,即所访问域名的IP地址和真实建立连接的IP并不相同。

以被劫持的域名go-acme.github.io为例,我们的passiveDNS库中该域名的IP地址主要使用如下四个托管在fastly上的IP地址,可以看到其数据非常干净。

对该域名直接进行连接测试,可以看到,TCP连接的目的地址正是185.199.111.153,但其返回的证书却是错误的证书。因此github证书错误的问题并不是在DNS层面出现问题。

劫持如何发生的?

为了搞清楚这个问题,可以通过抓取链路上的数据包来进行分析。为了有较好的对比性,我们先后抓取了443端口和80端口的数据。如下图

TCP三次握手中的服务器应答对比

左边的数据包为https连接,右边的数据包为http连接。可以看到https的服务器应答TTL为53,http的则为44。一般来说,在时间接近的情况下,连接相同的目标IP,数据包在链路上的路径是是近似的。https的TTL显著的大于http的TTL,看起来很有可能是在链路上存在劫持。

有意思的是 在https后续的连接中其TTL值并不稳定,比如在响应证书的数据包中,其TTL变成了47,介于44和53之间,更接近于http链路的情况。作为对比,http的后续数据包的TTL值则一直稳定在44

[20200327 23:00 更新] 在数据包内容方面,另一个值得关注的点是:被劫持的会话数据包(https)全部回包的IPID都是0.  正常数据包(http)首次回包IPID是0,之后的回包就不是了。

这是两个有意思的现象。

被劫持会话后续返回的TTL值

因此,结合https会话过程中TTL值和IPID的异常,我们猜测是在链路上发生了劫持。

证书是怎么回事?

事实上,从我们DNSMon系统的证书信息来看,这个证书(9e0d4d8b078d7df0da18efc23517911447b5ee8c)的入库时间在20200323早上六点。考虑到数据分析的时延,其开始在大网上使用最晚可以追溯到20200322。

同时可以看到,这个证书在证书链上的父证书(03346f4c61e7b5120e5db4a7bbbf1a3558358562)是一个自签名的证书,并且两者使用相同的签发者信息。

相关证书信息

受影响的域名及时间

从上图中可以看到,该证书的影响不仅仅在github,实际上范围非常大。通过DNSMon系统,我们提取出了受影响的域名共 15462个。

通过DNSMon系统查看这些域名的流行度,在TOP1000的域名中,有40个域名受影响,列表如下:

1 www.jd.com
5 www.baidu.com
10 www.google.com
37 www.sina.com
44 www.163.com
51 www.douyu.com
62 www.suning.com
86 www.pconline.com.cn
91 sp1.baidu.com
126 twitter.com
137 www.eastmoney.com
143 mini.eastday.com
158 sp0.baidu.com
174 www.jianshu.com
177 www.mgtv.com
185 www.zhihu.com
232 www.toutiao.com
241 price.pcauto.com.cn
271 www.google.com.hk
272 video.sina.com.cn
299 www.youtube.com
302 www.acfun.cn
365 www.vip.com
421 news.ifeng.com
451 car.autohome.com.cn
472 www.facebook.com
538 www.gamersky.com
550 www.xiaohongshu.com
552 www.zaobao.com
580 www.xxsy.net
621 www.huya.com
640 mp.toutiao.com
643 www.ifeng.com
689 www.ip138.com
741 dl.pconline.com.cn
742 v.ifeng.com
784 www.yicai.com
957 passport2.chaoxing.com
963 3g.163.com
989 www.doyo.cn

对这些域名发生证书劫持时的DNS解析情况分析发现,这些域名的解析IP均在境外,属于这些域名在境外的CDN服务。值得一提的是尽管这些域名都是排名靠前的大站,但是因为国内访问的时候,CDN解析会将其映射为国内的IP地址,因此国内感知到这些大站被劫持的情况比较小。

受影响二级域排名

在二级域方面,github.io 是受影响最大的二级域,也是此次劫持事件的关注焦点。

1297 github.io
35 app2.xin
25 github.com
18 aliyuncs.com
17 app2.cn
14 nnqp.vip
10 jov.cn
8 pragmaticplay.net
7 tpdz10.monster
7 suning.com

从时间维度来看,这些域名的首次被劫持时间分布如下:

从图中可以看出域名首次受影响的数量有日常作息规律,并且在3月26号数量有了较大幅度的增加。

结论

1)劫持涉及域名较多,共计15462个,其中TOP1000的网站有40个;
2)劫持主要发生在国内用户访问上述域名的海外CDN节点的链路上。国内用户访问国内节点的情况下未见影响;
3)所有这些劫持均使用了以 346608453@qq.com 名义签名的证书,但我们没有找到 编号 346608453 的QQ用户与本次劫持事件相连的直接证据,也不认为该QQ用户与本次事件有直接关联;
4)所有这些劫持最早出现在 20200321 23时附近并且在20200326处于高峰。
5)在20200327 11时之后,此劫持现象已经消失。前后共约131小时。

参考链接

  1. https://v2ex.com/t/656367?p=2


声明:本平台发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。
热门资讯
现在做网站依然可以赚钱
网站赚钱的方式多种多样,自己运营网站通过接广告、插入友链等方法变现,也可以选择出售网站,或帮别人做网站。
未来十年互联网行业发展前景和趋势
近些年来,中国互联网的发展可谓是日新月异,彻彻底底颠覆了传统行业和人们的工作生活。未来互联网会发展成什么样子,还站在现在的我们可能还难以预测未来,正如十年前的人们不会想到,不出门就能吃到外卖,甚至买到一切你想买的东西。因此本文就和大家谈谈未来十年互联网行业的发展前景和趋势。 互联网发展前景 至今为止,随着互联网产业2C的流量市场与商业机会接近天花板,同时伴随着AI、区块链、大数据、云计算、5G等技术的发展与突破,技术之间的相互取长补短实现了大数据作为生产资料、算力作为生产力、区块链作为生产关系的科技矩阵。多元科技融合将优先服务于G端与B端产业,一方面原因是G端与B端的产业矛盾存在多年,技术改造需求强烈;另一方面,C端的服务所需要的高并发性能、低价硬件成本等条件目前技术无法满足。 益于大数据、云计算、区块链、智能终端以及网络通信等技术的进步,为制造业或工业、金融、医疗、交通、零售、城市建设与管理、政府及事业单位等各行各业提供了突破信息互联网服务局限的新型科技产业形态。在过去人们所经历的信息互联网产业变革中,存在信息服务边界,因此,诸如教育、医疗、制造业等对打破信息不对称需求不强烈的行业,并没有受到较大的影响。而前沿科技服务于B端产业除了需要成熟的技术手段外,还需要拥有生产资料,即产业大数据,以及拥有产业经验与产业认知的团队。科技公司没有足够的产业经验是当前的主要矛盾,在将技术与业务结合时,经常会出现需求相悖的情况。因此,懂行业、懂业务的科技公司未来将会更具行业竞争力。 互联网发展趋势 1、互联网推动各个行业升级。 互联网将成为全球产业转型升级的重要助推器。互联网正在为全球产业发展构建起全新的发展和运行模式,推动产业组织模式、服务模式和商业模式全面创新,加速产业转型升级。众包、众创、众筹、网络制造等无边界、人人参与、平台化、社会化的产业组织新模式将让全球各类创新要素资源得到有效适配和聚合优化,移动服务、精准营销、就近提供、个性定制、线上线下融合、跨境电商、智慧物流等服务将让供求信息得到及时有效对接,按需定制、人人参与、体验制造、产销一体、协作分享等新商业模式将全面变革产业运行模式,重塑产业发展方式。互联网构建的网络空间,将让产业发展更好地聚集创新要素,更好地应对资源和环境等外部挑战,将推动全球产业发展迈入创新、协调、绿色、共享、开放的数字经济新时代。 线上线下的完全融合,是互联网企业营销的未来“未来的十年、二十年,没有电子商务这一说,只有新零售。”线上电商平台与线下实体店的紧密结合是未来所有企业的选择。过去大家一直以为电商要终结实体店,现在才发现传统的电商太落后,配送时间需要3天左右,消费者的信任力很低。通过线上线下融合方式,用户通过手机就能发现周边门店,在线下单,30分钟就可以送货上门,而且有实体店体验,信任力高。消费者在哪里,商家自然就需要在哪里。当大家大多数零碎时间都在手机上度过时,商家的广告宣传也只能紧随潮流。对商家来说,借助线上电商平台,将产品、库存、服务、会员、营销等线上化,提高收入的同时,还能降低成本。 2、互联网人才急缺主要集中在一线城市。 互联网本身是个瞬息万变的大行业,不同子行业的热门程度往往与所在行业的垄断程度、发展速度和从业公司数量有关,目前较为热门的有互联网金融、电商、视频、搜索等。从技术人员的专业技能来看,目前除了.net、c等过时的技术外,其他方向的技能,包括PHP、java、PM,尤其是Android、IOS语言的平台开发,往往都能有较多的从业选择。比如大数据开发、云计算、搜索、移动互联网等热门领域都有大量的高薪工作需求。 未来十年有发展前景的行业,除了技术人员外,还有两类人才是许多互联网企业,尤其是中小电商急需的人才类型。一类是熟悉网络市场营销的专业人才。B2B企业和B2C企业都对这类人才有较高的渴求。另一类是懂电子商务专业技能的人才。相比而言,B2B企业对这类人才的需求更强烈。另外,还要注意的是,总体来看,作为新兴产业,互联网企业的薪酬在不同的城市和地区有着较为明显的差异。数据显示,浙江省、广东省、上海市、北京市的收入水平高。由此可见,中国互联网企业目前还是集中在长三角、珠三角和大北京这三大经济发达的都市圈。如果想在这个行业里淘金,那就不要梦想逃离“北上广”的高房价、高物价和令人窒息的交通和雾霾了。 未来十年互联网行业的发展前景和趋势都是持续上升的,在当下这个急剧变化的时代,大家更应该把握时机,不断努力学习,才不会被时代的巨浪淹没。
MIXDJ音乐网
MIXDJ音乐网是一个不同于其他网站的电子音乐分享平台,它拥有很多有共同爱好的朋友在彼此交流、分享和感受音乐所给他们带来的快乐。MIXDJ音乐网顶级,权威,专业的音乐态度!是一个集电子音乐、欧美潮流音乐、中国原创舞曲、小资音乐和网络音乐电台为主的高品质MP3分享平台,它也是国内外音乐达人、顶尖电子音乐人、各大名牌夜店的明星DJ、音乐爱好者,都市时尚潮人的网络聚集地。
地方门户网站运营策略
地方门户网站运营策略
浅谈个人电影网站未来的发展前途
浅谈个人电影网站未来的发展前途
法律法规
©  版权所有(a5.net)  备案号码:苏B2-20110049
徐州八方网络科技有限公司