大炮 (網路攻擊工具)

大炮（英語：Great Cannon）是中華人民共和國的網路攻擊工具，其藉由劫持大量網路流量，對特定目標網站發動阻斷服務攻擊。^[1][2][3]

主要技術

根據命名大炮的加拿大學者表示，大炮將從中國以外的連線流量導到特定的目標網站，導致目標網站網路服務不穩。雖然大炮跟防火長城（Great Firewall）一起，但大炮是分開的攻擊系統，擁有不同的設計和功用。^[4]除了發起分散式阻斷服務攻擊以外，大炮還能監控網路流量，以及採用類似美國國安局的量子注入系統（英語：Quantum insert），對目標散佈惡意程式。^[5][6]

大炮發起的攻擊

針對「依附的自由」

主條目：依附的自由

大炮的第一個目標是GreatFire運營的「依附的自由」相關專案 ^[7]， 首次攻擊是對GreatFire運營在內容傳遞網路上的鏡像站點，出現在2015年3月14日^{[註 1][8]}。之後GreatFire報告大規模的攻擊出現在3月17日^{[9] [10][11]}。對鏡像站點的攻擊在3月25日終止^[8]。

之後在3月26日，被GreatFire用於代管反審查專案的GitHub也受到攻擊。^[12][13]

參見：對GitHub的審查和封鎖 § DDoS攻擊

多次技術報告顯示，對GitHub的攻擊的方式是採用了HTTP劫持，通過向百度注入惡意的JavaScript代碼，其功能是每隔2秒載入一次GreatFire或其運營的紐約時報中文網鏡像站點的帳號主頁，以使從中國大陸以外訪問百度網站及廣告的流量轉換為DDoS攻擊傳送至目標。^{[14] [15][16][7]}對GreatFire運營的鏡像站點也使用了了類似的方法。^[8][4]百度已否認自身產品存在安全問題^[17]。

這次攻擊導致GitHub在全球範圍內的訪問速度下降。^[18]

根據系統狀態訊息頁面的顯示，已於3月31日停止了網路攻擊，該日凌晨0:09（UTC）已經穩定。GitHub在其Twitter與微博予以了證實。^[19]至此，此網路攻擊共持續了五天。 Google的研究人員觀測到HTTP劫持在4月7日終止^[8]。

如何認定與中國政府有關

使用Traceroute追蹤TTL來證明中國政府對GitHub發動攻擊

為了防止資料在網路中無限迴圈，名為存活時間（Time to live，TTL）的機制限定了封包的壽命。從封包發出開始，每經過一個路由，TTL就減去1，當TTL=0時封包將會被丟棄。大多數系統傳送封包時都是從TTL=64開始，如果該封包抵達時TTL=24，那麼電腦和傳送者之間經過了40跳（64-24=40）。在對GitHub發動的DDoS攻擊中，攻擊者劫持了百度的JS檔案。如圖所示，百度伺服器所傳送封包的TTL=64，第一次抵達使用者瀏覽器時TTL=42，經過了22跳，使用者發回的請求包的TTL值也是64，但接下來的回應包的TTL值卻突然變成了227，顯然有中間人裝置注入了偽造包。一位研究人員用客製化Traceroute工具測試發現，注入裝置位於第11跳和第12跳之間，通過查詢第12跳裝置的IP位址，作者發現它位於中國聯通骨幹網，因此得出了中國政府與此有關的結論。^[20]

Google對JS劫持攻擊的分析

2015年4月24日，Google安全團隊在其部落格撰文稱，Javascript劫持攻擊的執行分為多個階段，最早發生在2015年3月3日，最後一次是在4月7日。Google指出，共有8個百度網域遭到劫持，被注入不同大小的Javascript代碼。Google認為，全面啟用HTTPS加密將能防禦這類攻擊。^[8]

其他

2015年4月26日，大炮對開放原始碼網站wpkg.org與旅遊網站ptraveler.com發動了攻擊，凡是用中國IP瀏覽嵌入了Facebook Connect按鈕指令碼的網站，皆會被重新導向至這兩個網站。^[21][22]

2017年8月16日，大炮被發現攻擊曾經邀請中國海外流亡富豪郭文貴做訪談的異議新聞站點明鏡網，大炮通過對百度站長統計的指令碼代碼注入攻擊明鏡網的代碼。 ^{[23][24][25][26]}

2019年11月25日，新品蔥遭到來自中國大陸的DDoS攻擊，導致約十小時左右無法訪問，隨後恢復正常。^{[來源請求]}

2019年12月初，美國網路服務提供商AT&T公司下屬的網路安全實驗室發表研究報告指出，自11月25日起，「大炮」被重新部署以攻擊被認為與香港反對逃犯條例修訂草案運動有關的網路論壇LIHKG論壇及多個其它意義不明的網路目標。該報道亦提及，早在8月31日，「大炮」就曾對LIHKG討論區發起攻擊。而有關程式碼與2017年明鏡新聞網所受攻擊中的代碼極爲相似。^[27]

觀點

加州大學伯克利分校研究生比爾·馬爾切克認為，一些中國國內網站，如百度被「大炮」截獲資料用以進行網絡攻擊，會損害其成為一家全球性競爭企業的機會。^[28]

外界普遍相信這是中國政府所為^[4]，但中國政府否認關於攻擊的指責，外交部發言人華春瑩認為「中國是網路駭客攻擊的最主要的受害者之一」。^[29][30][31]

參見

• 旁觀者攻擊
• 中華人民共和國網路審查
  • 中華人民共和國審查詞彙列表
  • 中華人民共和國被封鎖網站列表
• 突破網路審查（俗稱「翻牆」或「破網」）
• 中國大陸封鎖維基媒體事件
• 方濱興
• 和諧社會
• 第五權