https://www.opennet.ru/openforum/vsluhforumID3/101919.html Роберт Грэм (Robert Graham) из команды Errata Security, получивший известность как разработчик сверхпроизводительного DNS-сервера robdns (http://www.opennet.ru/opennews/art.shtml?num=41386) и системы masscan (https://github.com/robertdavidgraham/masscan), способной за 5 минут просканировать порты всех хостов в интернет, опубликовал (http://blog.erratasec.com/2015/04/pin-pointing-chinas-attack-against.html) результаты исследования источника подстановки вредоносных JavaScript-блоков, применяемых для DDoS-атаки (http://www.opennet.ru/opennews/art.shtml?num=41919) на GitHub. Исследование подтвердило, что модификация трафика производится на оборудовании "Великого китайского файрвола (https://ru.wikipedia.org/wiki/%D0%97%D0%BE%D0%BB%D0%BE%D1%82%D0%BE%D0%B9_%D1%89%D0%B8%D1%82)" или в непосредственной близости от него, в частности в инфраструктуре магистральной опорной сети крупнейшего китайского провайдера China Unicom. Пока непонятно санкционирована ли атака китайскими властями или она стала возможной в результате https://www.opennet.ru/openforum/vsluhforumID3/101919.html#175 Sun, 12 Apr 2015 19:27:53 GMT Главное подобрать правильные методы анализа, при которых Китайцев можно обвинить<br> https://www.opennet.ru/openforum/vsluhforumID3/101919.html#174 Wed, 08 Apr 2015 07:51:43 GMT Перевод/пересказ оригинала тут некорректный,<br>А сам анализ Netresec и Грэма очень интересный.<br><br>&gt; Подстановка используемых в атаке JavaScript-блоков осуществлялась<br>&gt; только для пакетов с низким TTL ("пришедших издалека").<br><br>Неверно. Просто для пришедших снаружи в сторону китайских сетей.<br><br>&gt; В подменённых в результате MITM-атаки пакетах значение поля с TTL искусственно заменялось на большое значение,<br><br>Неверно. Пакеты не подменялись, подменялся javascript. А пакеты инжектились в оригинальный поток.<br><br>&gt; Например, проверочные пакеты к серверу Baidu,<br>&gt; отправленные с TTL 64, достигают целевого хоста при TTL 46,<br>&gt; Но после отправки web-запроса, ответ приходит с TTL 98 или 99, что можно<br>&gt; рассматривать как признак получения ответа от подставного сервера.<br><br>Неверно. В анализе наблюдают пакеты ОТ сервера к клиенту, и в этом потоке у некоторых пакетов TTL отличается от остальных. Он не просто меньше - он другой (в оригинальной статье приводили пример с ttl 228).<br><br>&gt; Для этого им был подготовлен модифицированн https://www.opennet.ru/openforum/vsluhforumID3/101919.html#173 Tue, 07 Apr 2015 06:26:29 GMT &gt; Так а не проще открыть rdp/free nx до своего сервака в другой <br>&gt; стране, и оттуда пользоваться инетом?<br><br>Или познакомить кЕтайский фаервол с MPTCP, так интереснее, пожалуй :)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/101919.html#172 Tue, 07 Apr 2015 02:47:31 GMT &gt; если каждый буратина пошутит по шутке -- петросяну жрат будет нечего <br><br>в лорквотез!<br> https://www.opennet.ru/openforum/vsluhforumID3/101919.html#145 Sat, 04 Apr 2015 16:52:04 GMT &gt; Вывозили в поднебесную ноут с openVPN. Скорость режет практически до нуля. С <br>&gt; трудом открыли и прочитали содержимое каталога. Практически пользоваться невозможно. <br><br>Так а не проще открыть rdp/free nx до своего сервака в другой стране, и оттуда пользоваться инетом? <br><br>