[紧急] 请所有身处中国大陆的喵窝用户及实例位于中国大陆境内且与喵窝有互联的用户针对 `nya.one` 域名及其一级子域名启用强制代理以避免可能出现的蜜罐攻击
具体情况如下:
既昨天大量 Fediverse 实例被 GFW 屏蔽之后,据用户报告今天喵窝的连接依然很不稳定,在绕过中国大陆 IP 的代理模式下也时常出现断联的情况。喵窝针对国际互联网环境使用了 CloudFlare 作为 CDN 服务提供商,没有启用中国大陆节点,其IP在境外;而一般的 DNS 污染解析得到的结果也是将 IP 污染至 Facebook 或是 Twitter 的 IP 段(参见 WallMeter 的测试记录 ,因而应该会触发干净 DNS 解析服务并经由代理规则连接。
但刚才在代理运行正常的情况下出现了喵窝无法连接的情况,运行 DNS 查询得到的结果解析至一个中国大陆的 IP 118.184.78.*(图1),经查询该 IP 属于 Anchnet Asia Limited 的 AS137443 宣告的 IP 段 118.184.78.0/24 ,其 BGP 标注为 Shanghai ruisu network technology co. ,LTD(图2),由于宣告的 IP 段为中国境内 IP 因而没有触发代理规则,请求被直接发送给位于中国大陆的服务器。
喵窝启用了 HSTS Preload 以避免 HTTP 连接可能出现的中间人攻击,但每一个 DNS 请求,以及建立 HTTP 连接时产生的 SNI 请求,目前都是明文传输的(ESNI/ECH还只是草案,未完全普及),虽然经检测目标站点没有开放 HTTP 服务请求端口(图3),但根据 ISP 的 DNS 解析请求记录和 TCP 连接请求可以找到喵窝的用户和关联节点,根据来源 IP 可以向 ISP 索取用户身份,进而对用户的物理身份产生威胁。
目前不确定该境内目标地址型污染波及的范围有多广,是针对个人的精准定位行为还是针对域名实例的广泛打击,但依然推荐立刻添加强制代理规则以减少被攻击的可能性。
喵窝的运营团队也有一部分成员正身处中国大陆。如果遇到不可测的情况,我们可能会考虑无限期暂停喵窝服务,以避免事态进一步扩大。
--------
标注:
1. Anchnet Asia Limited: 香港安畅网络(亚太)有限公司,怀疑是上海安畅网络科技股份有限公司的国际运营子公司
2. Shanghai ruisu network technology co. ,LTD: 上海锐速网络科技有限公司