中國的網路巨砲又回來了！這次目標是連登討論區

12月4日時，美國的AT&T釋出報告，指出中國於11月25日起又開始重新部署了網路巨砲（Great Canon），用以攻擊香港有名的連登討論區（LIHKG）。

AT&T於12月4日所釋出的報告

在2015年時，網路巨砲曾經被部署以用於攻擊Github。當時Github上有人放上了「趙家人」的文件，有文件指出習近平疑似涉及殺人事件，據推測就是遭致攻擊的原因。2017年時，網路巨砲也被用以攻擊明鏡網。

網路巨砲如何運作？中國和中國境外連結的骨幹網路均會經過網路防火牆的過濾，以阻擋中國政府認為的「有害內容」進入中國境內；不過，一般來說，從中國境內流出的網路封包不會受到防火牆的過濾。

當網路巨砲運作的時候，如果有中國境外的電腦要存取中國的網站的時候，他們就有機會得到「被修改過」的Javascript。這些被修改過的Javascript，原先功能只是網站上的流量統計，因此有許多中國網站都會放上這些Javascript以統計流量。當這些Javascript被修改之後，就會使瀏覽器在使用者不知情的狀況下，主動的在背後不斷存取特定網站，造成特定網站過大的流量負荷，進而對該網站進行DDoS的阻斷式攻擊。

網路巨砲的運作原理

而網路巨砲最棘手之處，在於中國境內的使用者並不會取得有問題的程式碼，也不會發動攻擊；反而，一般都是在中國境外的使用者才會取得有問題的程式碼，進而在使用者不知情的狀態下發動攻擊。若是追查IP，只會發現攻擊來自世界各處，就是沒有中國。因此，中國官方就會聲稱這些攻擊與中國官方無關。不過，之前就有人發現，當網路巨砲運作的時候，封包在經過中國網路骨幹時會經過非常多手的轉傳，因而證實了這是由中國官方所進行的攻擊。

這次的網路巨砲運作方式，是當使用者存取的中國網站使用了這這兩個百度與奇虎的Javascript統計流量程式碼：

• http://push.zhanzhang.baidu.com/push.js
• http://js.passport.qihucdn.com/11.0.1.js

當使用者存取這兩個百度與奇虎的統計程式碼時，裡面的程式碼會被替換成這個內容：

https://urlscan.io/responses/df28c245c720b66cace9ac6433debffb2186b67c9d6fd3320df374513dadb857/

被混淆過的程式碼

這個程式碼看起來好像一片混亂，但事實上是經過混淆的Javascript程式碼。如果各位嘗試打開Chrome的開發者模式，執行這段程式碼，就會看到瀏覽器自己跑去訪問連登討論區。

程式碼引導瀏覽器連接連登討論區

這個網站有記錄下其他各個版本的攻擊程式碼，歡迎有興趣的朋友參酌研究。

根據ZDNet的報導，AT&T的工程師指出，攻擊連登討論區的網路攻擊最早在8月31日發現，而最後一次記錄則是在11月27日。

而連登討論區則指出，8月31日從8:00~23:59，他們一共記錄到超過15億次的網路請求，最高單一小時內超過650萬個單一用戶瀏覽；最高峰的攻擊頻率為每秒26萬次網路請求。