吓死我了,这是高端中间人攻击么?(src error checksum)

2015-10-02 19:52:24 +08:00
 vitovan

gyp ERR! stack Error: node-v0.12.6.tar.gz local checksum 5a6e3417a181928272aae4fe06cdc2f33cecd3c214eeccc8e3874dcd9e8797bb not match remote 7a3b5ac351973a9dee8edbf0684bc8d0dea44b231e42274ffb008141ffa19ad2

是墙么?是墙么?

是我们的源码都是被改过插过的么?


然而挂上 VPN 之后立马就好了啊!!!

6080 次点击
所在节点    Node.js
21 条回复
wy315700
2015-10-02 19:57:05 +08:00
下载到一般断了吧,,
ytjfmv
2015-10-02 19:58:26 +08:00
中间人攻击改源码难度挺大的,但除非是不明来源的,或者比较大众的源码。
不过要是能深入到开发者中去,“不小心”加个后门还是比较容易的。
vitovan
2015-10-02 19:59:03 +08:00
@wy315700 额,我忘了还有这个可能了。不过......没见下载报错啊。
Chrics
2015-10-02 21:44:02 +08:00
为什么页面的背景不一样...
flowfire
2015-10-02 22:31:46 +08:00
为何。。。不用 SSL
aprikyblue
2015-10-02 23:42:15 +08:00
@Chrics 节点背景。。
TakanashiAzusa
2015-10-02 23:44:23 +08:00
十有八九是下载过程中网络不稳定数据传输有误。就和用百度云下载 rar 结果解压不了一样。。
pynix
2015-10-02 23:44:24 +08:00
下载断了。。
caola
2015-10-03 02:46:26 +08:00
为毛不用 SSL
vitovan
2015-10-03 05:40:43 +08:00
@flowfire
@caola
npm 自己搞的么......
weizn
2015-10-03 11:03:36 +08:00
若真是中间人攻击,那么截取到数据包后改成恶意数据,再重新计算 IP 和 TCP 的校验和,确实可以达到篡改数据的目的,但是通过此方式改不了文件校验和,所以本地 checksum 和远程 checksum 会不一样。通过 VPN 连接后因为数据是加密的,攻击者无法正常解析数据包中的内容,所以就无法做到准确修改,传输的数据就没问题了。这种攻击方法的原理虽然不难理解,但是实现比较麻烦,在 APT 中会用到吧,莫非有人想黑楼主还是楼主的公司呢?另外楼主发的图挂了,还有为啥这页的背景不一样?
wgjak47
2015-10-03 11:27:32 +08:00
也可能是运营商太渣,乱缓存的缘故
vitovan
2015-10-03 12:24:58 +08:00
@weizn 说的很详细,多谢。图应该没挂,是 imgur 的床,被墙了?这页的背景是 Livid 故意调的(Node.js 版)。
fengdra
2015-10-03 12:49:44 +08:00
先看看里面是什么东西
Viztor
2015-10-03 15:01:56 +08:00
通常都是下载问题。如果文件包含 Hash ,中间人攻击通常是无效的。
也有可能是楼主的 NPM 没更新?
CYKun
2015-10-03 15:32:53 +08:00
@weizn
@Viztor
校验和是可以伪造的,比如用这个小工具 http://software.it168.com/a2011/1024/1262/000001262716.shtml

所以说电信服务商(以及他们背后的人)才是这个世界上最强大的黑客组织
vitovan
2015-10-03 17:37:12 +08:00
@Viztor 更新了,先更的 NPM 才开始干活的。
vitovan
2015-10-03 17:37:26 +08:00
@CYKun 所以说电信服务商(以及他们背后的人)才是这个世界上最强大的黑客组织

+1
Viztor
2015-10-03 19:56:43 +08:00
@CYKun
@vitovan
所以现在基本上都是 SHA1 了吧。
vitovan
2015-10-03 20:04:35 +08:00
@Viztor 不晓得这些道道儿......

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/225281

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX