中国劫持百度广告流量攻击GitHub

孟建国

2015年3月31日

专家称，流向百度及从百度流出的网络数据，似乎被改变了方向。百度总部位于北京。 David Gray/Reuters

香港——长期以来，中国政府一直在使用一套复杂的互联网过滤器作屏障，阻止民众访问政府认为含有危险信息的外国网站。这套过滤体系被称为“防火长城”(Great Firewall)。

但最近，试图帮助中国互联网用户规避这种审查的网站，遭受了一系列攻击。在这些攻击中，“防火长城”似乎被用作了武器，将流经它的海量网络流量中的一部分，指向一些网站，使目标网站过载。

中国政府的这种做法，既利用也损害了本国的互联网公司百度，它是中国最大的搜索引擎。那些攻击手段似乎劫持了本应流向百度的广告和分析流量，然后再将那些流量转移到较小的网站上。这种攻击方式被称为分布式阻断服务（distributed denial of service，简称DDoS）攻击，巨大的数据流可以起到让那些网站瘫痪的效果。

北京一方面希望控制网络信息流动，另一方面又希望鼓励本土科技产业的增长。当下攻击性极强的新策略，生动地显示出北京正在这两种欲望之间，艰难地寻求平衡。

最近这一轮攻击的主要目标是GitHub。它是一个颇受欢迎的网站，充当着程序员的代码库。该网站对中国的科技企业来说必不可少，但同时也托管着多个页面，让用户可以访问在中国被屏蔽的网站。

由于GitHub是完全加密的，中国国内的网络过滤系统无法辨别哪些页面含有对程序员有用的代码，哪些页面含有规避审查的代码。2013年，政府全面屏蔽GitHub时，在中国众多的电脑工程师中引发了强烈抗议，于是该网站随后被解封。

新一轮攻击更多地采取了围堵的方式，用网络流量冲击该网站——这种冲击难以抵挡，并且会产生极大损害——希望能迫使它撤下两个页面。其中一个页面上有来自GreatFire.org的代码。GreatFire.org是一家非营利性组织，运营着谷歌(Google)、BBC和《纽约时报》等被屏蔽网站的镜像。另一个页面上有指向纽约时报中文网的镜像网站的链接。

时报拒绝就攻击发表评论。

“这对表达自由来说是一个大问题，”香港中文大学助理教授徐洛文(Lokman Tsui)说。他接着表示，这些攻击可能会使GitHub等网站断定，托管被中国政府认为有问题的内容太麻烦了。

“这是向GitHub的维护人员发出的一个信号：你们要剔除GreatFire和《纽约时报》的内容，不然我们就一直这么做，”安全公司F-Secure的首席研究官米科·希波宁(Mikko Hypponen)说。

新一轮攻击发生时，中国政府加强了国内的审查，而且就全球互联网的管理方式，也更加直言不讳地发表了意见。中国互联网事务的主管官员鲁炜近来频繁公开露面，他在多个场合要求尊重中国的互联网主权，意思是中国应该有权在境内按照自己的意愿管理互联网。

但GreatFire.org在GitHub上的资料是一个不同寻常的例外。GitHub的总部位于旧金山，该网站提供了可以在中国解封网站的代码，这被认为是在外国违反中国法律的行为。国际战略研究中心(Center for Strategic and International Studies)高级研究员詹姆斯·安德鲁·刘易斯(James Andrew Lewis)表示，攻击行动是为了针对互联网不受领土限制的特点。

“中国试图重新定义互联网的规则，他们一边摸索，一边采取行动，”他说。“这次举动是另一套行动方式中的一种，由此我们可以认为，中国会对互联网的运行发表更多意见。”

他还表示，美国过去曾对伊朗发动的DDoS攻击做出强烈回应。这次，如果中国继续开展此类攻击，奥巴马政府可以施加更大压力，对中国采取更加严厉的惩罚。

一些安全专家表示，尽管最新一轮攻击行动的手法广为人知，但是此次攻击的新特征对努力保持网站运行的维护人员造成了巨大的困难。尤其是这些网络流量来自分布在世界各地的真实用户，而不是被感染的电脑集中组成的网络，所以很难甄别真流量和假流量。

专家表示，他们无法确定攻击行动的幕后主使。但境外用户访问中国境内的网站时，发向或来自百度广告及分析工具的数据，就会被重定向到攻击的目标网站。由于这些数据似乎是在中国与世界相连接的网关被重定向的，所以分析人士怀疑，这是中国政府和“防火长城”所为。

一名分析人士在Insight Labs经营的一个安全网站上发帖称，“在中国内部网络与互联网的交界处，某台设备劫持了”通往中国的连接。

“换句话说，”这篇帖子接着写道，“就连中国境外的人，都被当做武器，去攻击中国政府不喜欢的事情了，比如言论自由。”

希波宁表示，这种时断时续的攻击流量，与“防火长城”的过滤方式类似，实施攻击的能力和动机，也把怀疑的焦点指向北京。

GitHub在周五发表声明称，此次攻击行动是针对该网站的同类攻击中规模最大的，而且使用了“一些复杂的新手法，利用毫不知情的无关人群的网页浏览器，产生极高流量，来冲击GitHub.com网站”。

“根据我们收到的报告，”该公司表示，“我们认为此次攻击的目的是说服我们移除特定类别的内容。”

截至周一，GitHub表示，服务运转正常，但攻击流量仍在继续。

攻击活动致使百度陷入艰难的境地。徐洛文称，这是在中国营商的代价，并表示百度“被人利用”。他还指出，此次攻击切断了百度的广告流量，直接影响了该公司的利润。

百度发言人郭怡广(Kaiser Kuo)表示，该公司没有发现安全漏洞，并且正在与其他机构合作，对攻击活动开展调查。