3月26日，黑客通过骨干网发动HTTPS中间人攻击，造成大量用户无法正常访问Github和京东等网站。

此次攻击影响中国电信、中国联通、中国移动三大运营商网络以及教育网网络，涉及全国多个省市自治区，攻击影响面非常广。如果页面被劫持，访问数据会到劫持者手里，相关登陆凭据会泄露，严重的话会泄露账号密码。所幸目前全网绝大多数网站都已经开启加密技术对抗劫持，由于攻击者使用的自签名证书不被操作系统以及浏览器信任，因此如果用户未私自信任攻击者的自签名证书访问数据暂时不受影响。

博智赛博空间非攻研究院第一时间对本次骨干网中间人攻击的攻击过程进行分析，发现此次事件主要有3个特点：

1、攻击涉及三大运营商网络以及教育网网络，攻击影响面非常广；

2、攻击发生时HTTPS、HTTP和ICMP流量TTL值不同，攻击只针对HTTPS流量；

3、攻击者利用中间设备使用自签名证书进行SSL中间人劫持。

博智安全研究人员分析，攻击涉及三大运营商网络以及教育网网络，网络攻击点可能处于运营商骨干网核心位置；攻击发生时HTTPS、HTTP和ICMP流量TTL值不同，分析现网可能针对HTTPS协议使用了BGP Flow Specification/PBR等高级路由策略。根据运营商实际网络部署情况，攻击极有可能发生在骨干网流量处理设备，通过BGP Flow Specification/PBR等路由策略将HTTPS流量引流到特殊流量处理设备，但该设备可能被黑客恶意攻击并控制，进而被执行了HTTPS中间人劫持攻击。

博智赛博空间非攻研究院结合自有的博智电信网络靶场环境和电信网络技术，复现出可能的攻击场景：

1、通过虚拟化技术仿真路由器，并在骨干网中配置BGP  Flow  Specification等路由策略将HTTPS 443端口数据报文单独引流到中间设备；

（1）在路由器上配置BGP  Flow  Specification路由策略：

可以看出，针对TCP目的端口为443的数据报文通过BGP  Flow  Specification路由策略设置下一跳路由为173.1.1.2。

（2）分别使用ICMP、HTTP、HTTPS报文ping百度（www.baidu.com），并查看对应TTL值：

可以看出，ICMP和HTTP报文的TTL是49，而HTTPS报文的TTL是48，即HTTPS 443端口数据报文被单独引流到中间路由器R2。

2、通过虚拟化技术仿真中间设备，利用SSL证书伪造、中间人劫持等攻击技术，在中间设备对HTTPS流量使用自签名证书进行中间人攻击，劫持用户流量。

（1）攻击者伪造SSL自签名证书，并通过中间人攻击劫持HTTPS流量：

可以看出，攻击者在中间设备使用SSL自签名证书成功劫持HTTPS流量，而HTTP流量不受影响。

以上是博智赛博空间非攻研究院对此次安全事件的可能性原因分析，并在自有的博智电信网络靶场环境进行了复现，欢迎安全爱好者一起交流研讨。

博智仿真靶场平台通过数字孪生技术高度仿真虚拟环境与真实设备相结合，模拟仿真真实网络攻防的多种场景，涵盖传统网络仿真靶场、工业自动化安全仿真靶场、电信仿真靶场、电力仿真靶场、IOT仿真靶场、卫星遥感网络仿真靶场等。可提供大规模场景自定义、业务仿真、攻防对抗监控和态势分析等。

其中博智电信网络靶场通过虚拟环境与真实设备相结合，能够模拟仿真真实电信网络攻防作战的多种场景，可提供大规模电信网络仿真分析、电信网络对抗监控和电信网络攻防态势分析，覆盖电信网络多拓扑场景下的攻击渗透、比武竞赛、实操演练。博智电信网络靶场整合研发六大子系统，流量子系统、控制中心子系统、电信业务子系统、无线网子系统、IPRAN子系统、IPMAN子系统，建立业界真实、丰富、全面的电信网络靶场环境。为客户提供无线网络、有线网络安全实训超过30+场景。

“博智赛博空间非攻研究院”为博智安全旗下技术创新、安全研究的重要部门，部门拥有一支能力突出、技术过硬、业务精通、勇于创新的技术队伍，当前主要专注于应用安全、攻防渗透、工业互联网安全、物联网安全、电信安全和人工智能安全等方向。