*嚴正聲明:本文僅限於技術討論與教育目的,嚴禁用於非法途徑。
近期,來自Imperva Vitaly Simonovich和Dima Bekerman的安全研究專家發現了一種基於HTML5超鏈接審計功能(Ping標籤)的大規模DDoS攻擊。
新型DDoS攻擊技術
在此次攻擊活動中,DDoS攻擊請求峯值達到了7500次請求/秒,在大概4個小時內攻擊者總共利用了4000多個不同的用戶向攻擊目標發送了超過7000萬次惡意請求。
Imperva的研究人員在其發佈的安全分析報告中指出:“我們對此次DDoS攻擊進行了深入分析,並且發現攻擊活動中涉及到的攻擊流量大多數來自於亞洲地區。而且,攻擊者主要使用的是常用的HTML5屬性,即<a>標籤中的ping屬性,並以此欺騙用戶讓他們在毫不知情的情況下參與到攻擊者的DDoS攻擊活動中來。整個攻擊活動持續了大約4個小時,併成功向攻擊目標發送了大約7000萬次惡意請求。“
研究人員還表示,在此次攻擊活動中,攻擊者並沒有利用任何安全漏洞,而是將合法的HTML5功能轉換爲了他們的攻擊工具。值得一提的是,幾乎所有“參與“到此次攻擊中的用戶都是QQ瀏覽器的用戶,而這款瀏覽器的用戶幾乎全部都是我們自己人。
通過對日誌進行分析後,專家們發現所有的惡意請求中都包含“Ping-From”和“Ping-To”這兩個HTTP頭,這也是迄今爲止第一次發現攻擊者使用<a>標籤的Ping屬性來實施DDoS攻擊。
。
Ping屬性
在攻擊活動中,“Ping-From”和“Ping-To”的值都引用了“ http://booc [.]gz[.]bcebos[.]com/you[.]html”這個URL地址。
而且,請求中的User-Agent都跟我們每天都會用到的一款聊天App-微信有關。
專家認爲,攻擊者利用了社工技術以及惡意廣告來欺騙微信用戶打開默認瀏覽器,下面是安全專家描述的攻擊場景:
1、 攻擊者搭建釣魚網站,並注入惡意廣告。
2、 在iframe中注入廣告並關聯合法網站,然後將其發送到微信羣。
3、 合法用戶訪問該網站後,惡意JavaScript代碼將會執行,並針對用戶點擊的鏈接創建”Ping”屬性。
4、 創建後將生成一個HTTP Ping請求,並通過合法用戶的瀏覽器發送給目標域名。
專家還表示,除了QQ瀏覽器之外,還有很多瀏覽器都會受到這種新型DDoS攻擊技術的影響。不過好消息就是,Firefox默認禁用了Ping屬性。
簡單分析
攻擊者在搭建惡意網站時,使用了兩個外部JavaScript文件,其中一個包含了DDoS攻擊目標的URL地址數組,另一個JS文件主要用來從地址數組中隨機選取一個URL地址,並創建帶有Ping屬性的<a>標籤,然後通過代碼實現每秒訪問一次目標地址。
用戶只要不停瀏覽或停留在這個網頁上,他們的設備就會不斷向目標站點發送Ping請求。研究人員表示,如果這個網站有4000個用戶訪問的話,每個小時大約可以生成1400萬次惡意請求。
應對方案
如果你的Web服務器不希望或不需要接收來自於外部的Ping請求,你可以在邊緣設備(防火牆或WAF等等)上屏蔽包含了“Ping-To”或“Ping-From”這兩個HTTP頭的任何Web請求,這樣就可以抵禦這種攻擊了。
自己是一個6年的前端工程師,希望本文對你有幫助!
這裏推薦一下我的前端學習交流扣qun:731771211 ,裏面都是學習前端的,如果你想製作酷炫的網頁,想學習編程。自己整理了一份2019最全面前端學習資料,從最基礎的HTML+CSS+JS【炫酷特效,遊戲,插件封裝,設計模式】到移動端HTML5的項目實戰的學習資料都有整理,送給每一位前端小夥伴,每天分享技術
點擊:加入