*严正声明:本文仅限于技术讨论与教育目的,严禁用于非法途径。
近期,来自Imperva Vitaly Simonovich和Dima Bekerman的安全研究专家发现了一种基于HTML5超链接审计功能(Ping标签)的大规模DDoS攻击。
新型DDoS攻击技术
在此次攻击活动中,DDoS攻击请求峰值达到了7500次请求/秒,在大概4个小时内攻击者总共利用了4000多个不同的用户向攻击目标发送了超过7000万次恶意请求。
Imperva的研究人员在其发布的安全分析报告中指出:“我们对此次DDoS攻击进行了深入分析,并且发现攻击活动中涉及到的攻击流量大多数来自于亚洲地区。而且,攻击者主要使用的是常用的HTML5属性,即<a>标签中的ping属性,并以此欺骗用户让他们在毫不知情的情况下参与到攻击者的DDoS攻击活动中来。整个攻击活动持续了大约4个小时,并成功向攻击目标发送了大约7000万次恶意请求。“
研究人员还表示,在此次攻击活动中,攻击者并没有利用任何安全漏洞,而是将合法的HTML5功能转换为了他们的攻击工具。值得一提的是,几乎所有“参与“到此次攻击中的用户都是QQ浏览器的用户,而这款浏览器的用户几乎全部都是我们自己人。
通过对日志进行分析后,专家们发现所有的恶意请求中都包含“Ping-From”和“Ping-To”这两个HTTP头,这也是迄今为止第一次发现攻击者使用<a>标签的Ping属性来实施DDoS攻击。
Ping属性
在攻击活动中,“Ping-From”和“Ping-To”的值都引用了“http://booc[.]gz[.]bcebos[.]com/you[.]html”这个URL地址。
而且,请求中的User-Agent都跟我们每天都会用到的一款聊天App-微信有关。
专家认为,攻击者利用了社工技术以及恶意广告来欺骗微信用户打开默认浏览器,下面是安全专家描述的攻击场景:
1、 攻击者搭建钓鱼网站,并注入恶意广告。
2、 在iframe中注入广告并关联合法网站,然后将其发送到微信群。
3、 合法用户访问该网站后,恶意JavaScript代码将会执行,并针对用户点击的链接创建”Ping”属性。
4、 创建后将生成一个HTTP Ping请求,并通过合法用户的浏览器发送给目标域名。
专家还表示,除了QQ浏览器之外,还有很多浏览器都会受到这种新型DDoS攻击技术的影响。不过好消息就是,Firefox默认禁用了Ping属性。
简单分析
攻击者在搭建恶意网站时,使用了两个外部JavaScript文件,其中一个包含了DDoS攻击目标的URL地址数组,另一个JS文件主要用来从地址数组中随机选取一个URL地址,并创建带有Ping属性的<a>标签,然后通过代码实现每秒访问一次目标地址。
用户只要不停浏览或停留在这个网页上,他们的设备就会不断向目标站点发送Ping请求。研究人员表示,如果这个网站有4000个用户访问的话,每个小时大约可以生成1400万次恶意请求。
应对方案
如果你的Web服务器不希望或不需要接收来自于外部的Ping请求,你可以在边缘设备(防火墙或WAF等等)上屏蔽包含了“Ping-To”或“Ping-From”这两个HTTP头的任何Web请求,这样就可以抵御这种攻击了。
* 参考来源:securityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM