一直以來，DDoS攻擊就是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和web應(yīng)用的主要威脅。攻擊者也在不斷創(chuàng)建新的方式來利用合法服務(wù)進(jìn)行惡意行為，迫使研究人員在CDN DDoS攻擊方面進(jìn)行持續(xù)研究并構(gòu)建高級緩解措施。

研究人員近期調(diào)查了一起主要來自亞洲用戶產(chǎn)生的DDOS攻擊事件。攻擊者使用了通用HTML5屬性<a> tag ping來誘使用戶在不經(jīng)意間就參與了DDOS攻擊，攻擊中4個(gè)小時(shí)內(nèi)對一個(gè)web站點(diǎn)發(fā)起了約7000萬次的請求。

但是攻擊者并不是利用了某個(gè)漏洞，而是將一個(gè)合法的特征變成了攻擊工具。幾乎所有參與攻擊的僵尸主機(jī)用戶都是騰訊QQ瀏覽器的用戶，主要用戶也是漢語國家用戶。最新消息證明攻擊還在持續(xù)。

攻擊原理

Ping是HTML5中的一個(gè)新特征，用戶在瀏覽頁面的時(shí)候就知道這個(gè)鏈接（也就是你上面的URL）是否真實(shí)有效，如果這個(gè)鏈接已經(jīng)失效了，就用一些通知（比如將鏈接加上刪除線）來標(biāo)識(shí)這樣的URL。當(dāng)用戶點(diǎn)擊連接時(shí)，就會(huì)發(fā)送一個(gè)ping的POST請求給屬性中指定的URL，包括首部Ping-From, Ping-To, “text/ping”內(nèi)容類型。

一個(gè)含有ping屬性的鏈接的HTML頁面如下所示：

含有ping的POST請求

WordPress CMS中也使用Pingback特征來通知網(wǎng)站所有者鏈接是否被點(diǎn)擊過。攻擊者也使用過Pingback以發(fā)送上百萬有漏洞的WordPress示例來執(zhí)行DDOS攻擊。

除了使用HTML5 ping特征外，DDOS攻擊中參與的移動(dòng)用戶主要來自同一個(gè)區(qū)域，這在之前的基于相同瀏覽器的DDOS攻擊中是非常少見的。

研究人員分析發(fā)現(xiàn)有大約4000個(gè)用戶IP參與了攻擊，絕大多數(shù)來自于中國。在4小時(shí)的攻擊活動(dòng)中，請求生成的峰值是7500個(gè)每秒，一共生成了超過7000萬個(gè)請求。

研究人員通過日志分析的方式來分析攻擊，發(fā)現(xiàn)所有的惡意請求中都含有HTTP首部“Ping-From”和“Ping-To”。這也是研究人員首先遇到使用<a> tag ping屬性來發(fā)起DDOS攻擊。

DDOS攻擊生成的請求樣本

可疑的URL中含有非常簡單的HTML頁面，其中包含2個(gè)外部JS文件，分別是ou.js和yo.js。

“http://booc.gz.bcebos.com/you.html”源碼

“ou.js”有一個(gè)含有URL的JS數(shù)組，就是DDOS攻擊的目標(biāo)。

“OU.JS”源碼

“yo.js”有一個(gè)函數(shù)可以從數(shù)組中隨機(jī)選擇目標(biāo)，并創(chuàng)建一個(gè)指向該URL的含有ping屬性的<a> tag。

每秒鐘都會(huì)創(chuàng)建一個(gè)<a> tag，并自動(dòng)編程點(diǎn)擊發(fā)送一個(gè)到目標(biāo)網(wǎng)站的ping請求。

合法的用戶也會(huì)被誘騙來訪問這些網(wǎng)站，被動(dòng)地參與DDOS攻擊。只要用戶停留在該頁面，就會(huì)持續(xù)不斷地產(chǎn)生ping請求。

“yo.js”JS源碼

有一個(gè)問題是如何讓用戶盡可能長的留在web頁面來持續(xù)觸發(fā)ping請求，維持DDOS攻擊的流量呢？

研究人員發(fā)現(xiàn)請求中的User-Agent與微信有關(guān)。微信使用默認(rèn)的手機(jī)瀏覽器來打開消息中的鏈接，而許多用戶選擇QQ瀏覽器作為默認(rèn)瀏覽器。

因此研究人員得出結(jié)論就是惡意廣告加上社會(huì)工程攻擊來觸發(fā)可疑的微信用戶打開瀏覽器。比如：

· 攻擊者出入惡意廣告來加載一個(gè)可疑的網(wǎng)頁

· 到含有惡意廣告的合法站點(diǎn)的鏈接出現(xiàn)在微信群中

· 合法用戶訪問含有惡意廣告的網(wǎng)頁

· JS代碼執(zhí)行，創(chuàng)建一個(gè)含有ping屬性的鏈接

· 生成HTTP ping請求，并從合法用戶的瀏覽器發(fā)送到目標(biāo)域

總結(jié)

本次攻擊活動(dòng)中主要是使用QQ瀏覽器來發(fā)起DDOS攻擊，但是其他web瀏覽器也可以被利用來發(fā)起ping attack。而瀏覽器開發(fā)者采取了措施讓用戶很難關(guān)掉瀏覽器的ping特征，這樣用戶不可避免的會(huì)參與攻擊。

但web服務(wù)器仍然可以通過防火墻、WAF等攔截含有“Ping-To”、“Ping-From” HTTP headers的請求。攻擊者在不斷尋找新的方式來濫用合法服務(wù)進(jìn)行惡意攻擊，網(wǎng)絡(luò)攻防永無止境。

本文翻譯自：https://www.imperva.com/blog/the-ping-is-the-thing-popular-html5-feature-used-to-trick-chinese-mobile-users-into-joining-latest-ddos-attack/如若轉(zhuǎn)載，請注明原文地址： https://www.4hou.com/web/17462.html更多內(nèi)容請關(guān)注“嘶吼專業(yè)版”——Pro4hou

總結(jié)

以上是生活随笔為你收集整理的a标签hidden属性_HTML5属性a标签ping被用于DDOS攻击，QQ浏览器被波及的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。