TL;DR trojan 用户请开启配置中的 verify 和 verify_hostname。
根据 trojan 的工作原理,只要开启了 config.ssl.verify 和 config.ssl.verify_hostname,就不会受到 MITM 攻击,也不会泄露出客户端正在使用 trojan 翻墙。所以建议大家尽快为服务器配置证书,可以使用提供免费证书的 acme.sh 和 certbot。
未开启 verify 和 verify_hostname 的客户端,如果遭到 GFW 的 MITM 攻击,GFW 将可能尝试使用 trojan 协议规定的数据包格式来解析你的请求。如果解析成功,说明你在 TLS 中传输的不是 HTTP 请求——换言之,说明你在使用 trojan 翻墙。同时,GFW 也可以得知你所访问的服务器 ip 正提供基于 trojan 的翻墙服务,进而有针对性地封禁服务器。
更进一步地,GFW 如果对 trojan 代码进行修改,使其在作为 server 工作时允许所有 trojan client 连接,那么将可以获得所有未开启 verify 和 verify_hostname 的客户端的请求明文,且客户端不会请求失败。这非常简单,只需要将 https://github.com/trojan-gfw/trojan/blob/master/src/session/serversession.cpp#L141 这一行修改为 if(false) { 即可。在此基础上,GFW 将可以在 TLS MITM 攻击的基础上,发起 trojan MITM 攻击,使得未开启 verify 和 verify_hostname 的 trojan 客户端在无感知的情况下被 GFW 获得请求与应答。
旧:trojan client —> trojan server —> website —> trojan server —> client
新:trojan client —> GFW trojan server (MITM) —> actual trojan server —> website —> actual trojan server —> GFW trojan server (MITM) —> trojan client
开启了 verify 和 verify_hostname 的客户端将不会被 MITM 攻击。
(不用担心你设定的 trojan 密码被知道(即使是没有开启 verify 和 verify_hostname)。这是因为 trojan 在传输密码时只传输其哈希值(详见 https://trojan-gfw.github.io/trojan/protocol 和 https://github.com/trojan-gfw/trojan/blob/master/src/core/config.cpp#L65 )。)
结论:至少根据咱的分析,这是完全可行的攻击思路。所以,趁着他们还没有这么做,赶紧去给自己的 trojan server 加上证书。以 trojan 的用户规模,可能在 GFW 那里的优先级不算很高,应该还来得及。
消息来源: https://t.me/melon_murmur/333
根据 trojan 的工作原理,只要开启了 config.ssl.verify 和 config.ssl.verify_hostname,就不会受到 MITM 攻击,也不会泄露出客户端正在使用 trojan 翻墙。所以建议大家尽快为服务器配置证书,可以使用提供免费证书的 acme.sh 和 certbot。
未开启 verify 和 verify_hostname 的客户端,如果遭到 GFW 的 MITM 攻击,GFW 将可能尝试使用 trojan 协议规定的数据包格式来解析你的请求。如果解析成功,说明你在 TLS 中传输的不是 HTTP 请求——换言之,说明你在使用 trojan 翻墙。同时,GFW 也可以得知你所访问的服务器 ip 正提供基于 trojan 的翻墙服务,进而有针对性地封禁服务器。
更进一步地,GFW 如果对 trojan 代码进行修改,使其在作为 server 工作时允许所有 trojan client 连接,那么将可以获得所有未开启 verify 和 verify_hostname 的客户端的请求明文,且客户端不会请求失败。这非常简单,只需要将 https://github.com/trojan-gfw/trojan/blob/master/src/session/serversession.cpp#L141 这一行修改为 if(false) { 即可。在此基础上,GFW 将可以在 TLS MITM 攻击的基础上,发起 trojan MITM 攻击,使得未开启 verify 和 verify_hostname 的 trojan 客户端在无感知的情况下被 GFW 获得请求与应答。
旧:trojan client —> trojan server —> website —> trojan server —> client
新:trojan client —> GFW trojan server (MITM) —> actual trojan server —> website —> actual trojan server —> GFW trojan server (MITM) —> trojan client
开启了 verify 和 verify_hostname 的客户端将不会被 MITM 攻击。
(不用担心你设定的 trojan 密码被知道(即使是没有开启 verify 和 verify_hostname)。这是因为 trojan 在传输密码时只传输其哈希值(详见 https://trojan-gfw.github.io/trojan/protocol 和 https://github.com/trojan-gfw/trojan/blob/master/src/core/config.cpp#L65 )。)
结论:至少根据咱的分析,这是完全可行的攻击思路。所以,趁着他们还没有这么做,赶紧去给自己的 trojan server 加上证书。以 trojan 的用户规模,可能在 GFW 那里的优先级不算很高,应该还来得及。
消息来源: https://t.me/melon_murmur/333
GitHub
trojan/src/session/serversession.cpp at master · trojan-gfw/trojan
An unidentifiable mechanism that helps you bypass GFW. - trojan-gfw/trojan
🤔 劫持规模进一步扩大, 大量合法站点亦被劫持
包括一些CDN回源时也会受到影响, 看不懂诶
目前知道的消息:
- 针对443端口的L4劫持
- 在中间路由对443直接返回, mtr其他端口均正常
- 做的似乎不是很好, 抓包下来6个包能有四种TTL(来源)
- 可能是针对 Naive/Trojan 等SSL隧道, Naive 直接没有证书验证, 很容易被抓到数据, 需要尽早防范
消息来源: https://t.me/berd_channel/894
包括一些CDN回源时也会受到影响, 看不懂诶
目前知道的消息:
- 针对443端口的L4劫持
- 在中间路由对443直接返回, mtr其他端口均正常
- 做的似乎不是很好, 抓包下来6个包能有四种TTL(来源)
- 可能是针对 Naive/Trojan 等SSL隧道, Naive 直接没有证书验证, 很容易被抓到数据, 需要尽早防范
消息来源: https://t.me/berd_channel/894
喜加一 | 100% Orange Juice「100% 混合果汁」
获得 200% Mixed Juice!「¥0」¥48
#Steam #喜加一 #特别好评 #NS1043
消息来源: https://t.me/SteamNy/1435
https://store.steampowered.com/newshub/app/282800/view/2104810792999732493
获得 200% Mixed Juice!「¥0」¥48
注:领取截止!3/31,1:00
注:点击即可入库,限免游戏不会掉卡!
#Steam #喜加一 #特别好评 #NS1043
消息来源: https://t.me/SteamNy/1435
https://store.steampowered.com/newshub/app/282800/view/2104810792999732493
Steampowered
100% Orange Juice on Steam
100% Orange Juice is a digital multiplayer board game populated by developer Orange Juice's all-star cast. Characters from Flying Red Barrel, QP Shooting, Suguri and Sora come together with all-new characters to duke it out... with dice.
第二波 github.com 似乎来了。
还是昨天的味道。
还是昨天的味道。
===== 评论区 =====
Jack Zhao: https://t.me/liyuans/31809
已车软用户: (➤Jack Zhao) qq邮箱便乘360公司的了?
Jack Zhao: (➤已车软用户) 需要了解更多细节请私聊我,有一些东西不方便公开
Jack Zhao: https://t.me/liyuans/31809
已车软用户: (➤Jack Zhao) qq邮箱便乘360公司的了?
Jack Zhao: (➤已车软用户) 需要了解更多细节请私聊我,有一些东西不方便公开
有攻击者正发动中间人攻击 GitHub和京东受影响最大
据蓝点网网友反馈,有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站。
此次攻击很有可能是基于 DNS 系统或运营商层面发起的,目前受影响的主要是部分地区用户但涉及所有运营商。例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些站点并未出现异常情况。
由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。从目前攻击情况来看此次发起攻击的黑客很可能是初学者,而攻击目的很有可能只是在测试但没想到规模如此大。读者可以点击以下链接进行测试:https://z.github.iohttps://koajs.com/大量用户无法正常访问京东和GitHub:从目前网上查询的信息可以看到此次攻击涉及最广的是 GitHub.io,其次用户访问京东等国内知名网站亦会报错。查看证书信息可以发现这些网站的证书被攻击者使用的自签名证书代替,导致浏览器无法信任从而阻止用户访问。自签名证书显示证书的制作者昵称为心即山灵,这位心即山灵看起来就是此次攻击的始作俑者。所幸目前全网绝大多数网站都已经开启加密技术对抗劫持,因此用户访问会被阻止而不会被引导到钓鱼网站上去。如果网站没有采用加密安全链接的话可能会跳转到攻击者制作的钓鱼网站,若输入账号密码则可能会被直接盗取。
注 :此QQ号从此前某数据库里可检索出使用者为某校高中生,不过尚不清楚是高中在校生还是已经从该校毕业。
攻击者可能是初学者正在进行测试:从攻击者自签名证书留下的这个扣扣号可以在网上搜寻到部分信息,信息显示此前这名攻击者正在学习加密技术。这名攻击者还曾在技术交流网站求助他人发送相关源代码,从已知信息判断攻击者可能是在学习后尝试发起攻击。但估计他也没想到这次攻击能涉及全国多个省市自治区的网络访问,而且此次攻击已经持续四个小时还没有恢复。另外从这名攻击者如此高调行事的风格来看也极有可能是初学者,毕竟此前尝试大规模劫持的还在牢里没出来呢。
被劫持的京东(图片来自unixeno)蓝点网部分节点测试情况:# 阿里云上海数据中心(BGP)curl -k -v * Connected to z.github.io (185.199.108.153) port 443 (#0)* SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256* ALPN, server did not agree to a protocol* Server certificate:* subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; emailAddress=346608453@qq.com* start date: Sep 26 09:33:13 2019 GMT* expire date: Sep 23 09:33:13 2029 GMT* issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; emailAddress=346608453@qq.com* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.> GET / HTTP/1.1> Host: z.github.io> User-Agent: curl/7.52.1> Accept: */*# 群英网络镇江数据中心(电信)curl -k -v * About to connect() to z.github.io port 443 (#0)* Trying 185.199.110.153...* Connected to z.github.io (185.199.110.153) port 443 (#0)* Initializing NSS with certpath: sql:/etc/pki/nSSDb* sk...
PC版:https://www.cnbeta.com/articles/soft/960295.htm
手机版:https://m.cnbeta.com/view/960295.htm
消息来源: https://t.me/cnbeta_com/182708
据蓝点网网友反馈,有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站。
此次攻击很有可能是基于 DNS 系统或运营商层面发起的,目前受影响的主要是部分地区用户但涉及所有运营商。例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访问这些站点并未出现异常情况。
由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。从目前攻击情况来看此次发起攻击的黑客很可能是初学者,而攻击目的很有可能只是在测试但没想到规模如此大。读者可以点击以下链接进行测试:https://z.github.iohttps://koajs.com/大量用户无法正常访问京东和GitHub:从目前网上查询的信息可以看到此次攻击涉及最广的是 GitHub.io,其次用户访问京东等国内知名网站亦会报错。查看证书信息可以发现这些网站的证书被攻击者使用的自签名证书代替,导致浏览器无法信任从而阻止用户访问。自签名证书显示证书的制作者昵称为心即山灵,这位心即山灵看起来就是此次攻击的始作俑者。所幸目前全网绝大多数网站都已经开启加密技术对抗劫持,因此用户访问会被阻止而不会被引导到钓鱼网站上去。如果网站没有采用加密安全链接的话可能会跳转到攻击者制作的钓鱼网站,若输入账号密码则可能会被直接盗取。
注 :此QQ号从此前某数据库里可检索出使用者为某校高中生,不过尚不清楚是高中在校生还是已经从该校毕业。
攻击者可能是初学者正在进行测试:从攻击者自签名证书留下的这个扣扣号可以在网上搜寻到部分信息,信息显示此前这名攻击者正在学习加密技术。这名攻击者还曾在技术交流网站求助他人发送相关源代码,从已知信息判断攻击者可能是在学习后尝试发起攻击。但估计他也没想到这次攻击能涉及全国多个省市自治区的网络访问,而且此次攻击已经持续四个小时还没有恢复。另外从这名攻击者如此高调行事的风格来看也极有可能是初学者,毕竟此前尝试大规模劫持的还在牢里没出来呢。
被劫持的京东(图片来自unixeno)蓝点网部分节点测试情况:# 阿里云上海数据中心(BGP)curl -k -v * Connected to z.github.io (185.199.108.153) port 443 (#0)* SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256* ALPN, server did not agree to a protocol* Server certificate:* subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; emailAddress=346608453@qq.com* start date: Sep 26 09:33:13 2019 GMT* expire date: Sep 23 09:33:13 2029 GMT* issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; emailAddress=346608453@qq.com* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.> GET / HTTP/1.1> Host: z.github.io> User-Agent: curl/7.52.1> Accept: */*# 群英网络镇江数据中心(电信)curl -k -v * About to connect() to z.github.io port 443 (#0)* Trying 185.199.110.153...* Connected to z.github.io (185.199.110.153) port 443 (#0)* Initializing NSS with certpath: sql:/etc/pki/nSSDb* sk...
PC版:https://www.cnbeta.com/articles/soft/960295.htm
手机版:https://m.cnbeta.com/view/960295.htm
消息来源: https://t.me/cnbeta_com/182708
