github SSL 劫持是如何实现的？具体原理是什么

看楼上这么多意淫，挺搞笑的

这个事情应该结合上好几年前沃通的事儿看
知乎传送门： https://www.zhihu.com/question/50298017
沃通和 360 的关系不用说了吧

昨天 gorm.io 这个域名也被劫持了

今天上午打不开还以为是被劫持了，插个眼

原理就是攻击者首先能够伪造 github 的域名，他能控制 DNS 解析，把域名指向一个“中间人”服务器上，然后在这个中间人服务器上部署伪造的证书。
关键点就在于这个 DNS 的服务器控制权限，连骨干网络都收到影响了，我想应该不是一般商家能够做得到的事情。本质上跟以前的 DNS 污染是一回事，所以楼上有人猜测这事跟“权力”相关完全不稀奇。

话说回来，就算真的把整个 Github 都封了也不会怎么样吧，再多几个教授联名写信都不会怎么样，真的。

@Biwood DNS 正常的吧？

我觉得就是贵党看不爽了。

P.S.楼主女性头像警告。（光速逃

@Biwood dns 正常，ip 也正常，看网上大佬分析 只有 443 的路由不正常，
但是 奇怪的是，通过 githubio 访问劫持，自定义域名就没事，

@galenzhao 猜测应该是劫持了特定 ip 特定端口的请求，那个分析帖提到了 cython 这种别名到 githubio 的也挂了

@Biwood 你连事件都没认真看，dns 从头到尾都没问题。

基本可以確定是 BGP Flowspec 。這個一般是做 DDoS 清洗的時候用來牽引流量的，現在看樣子是被開發出了新玩法。

我只能说不是个人行为

@tulongtou
因为这就是小喽啰的搜索引擎驱动编程模式嘛，不知道从哪 copy 的命令就硬怼进去。

BGP 协议配合路由策略可以做到，但是 BGP 协议几乎不可能被黑入，结合去前年国内强制要求 bgp 和 igp 换用国密算法，所以极有可能是功夫网借助国密后门搞的反科学上网实验

日常挂梯子上网+吊销所有国产证书+手动维护 HSTS 列表，都不知道发生了这件事情

敲山震猫

后排板凳

没想到连 GitHub 都实现了 AnyCast……

@wdlth 套了 CDN，CDN 实现的 AnyCast

@nereus 上个月 Let's Encrypt 发的博客里提到针对了 BGP 的攻击，说是大部分的 BGP 部署都不安全： https://letsencrypt.org/2020/02/19/multi-perspective-validation.html