利用HTML5標籤進行DDoS攻擊的新方法揭祕

　　利用HTML5標籤進行DDoS攻擊的新方法揭祕

　　*嚴正聲明：本文僅限於技術討論與教育目的，嚴禁用於非法途徑。

　　近期，來自Imperva Vitaly Simonovich和Dima Bekerman的安全研究專家發現了一種基於HTML5超連接審計功能（Ping標籤）的大規模DDoS攻擊。

　　新型DDoS攻擊技術

　　在這次攻擊活動中，DDoS攻擊請求峯值達到了7500次請求/秒，在大概4個小時內攻擊者總共利用了4000多個不一樣的用戶向攻擊目標發送了超過7000萬次惡意請求。

　　Imperva的研究人員在其發佈的安全分析報告中指出：「咱們對這次DDoS攻擊進行了深刻分析，而且發現攻擊活動中涉及到的攻擊流量大多數來自於亞洲地區。並且，攻擊者主要使用的是經常使用的HTML5屬性，即<a>標籤中的ping屬性，並以此欺騙用戶讓他們在絕不知情的狀況下參與到攻擊者的DDoS攻擊活動中來。整個攻擊活動持續了大約4個小時，併成功向攻擊目標發送了大約7000萬次惡意請求。「

　　研究人員還表示，在這次攻擊活動中，攻擊者並無利用任何安全漏洞，而是將合法的HTML5功能轉換爲了他們的攻擊工具。值得一提的是，幾乎全部「參與「到這次攻擊中的用戶都是QQ瀏覽器的用戶，而這款瀏覽器的用戶幾乎所有都是咱們本身人。

　　經過對日誌進行分析後，專家們發現全部的惡意請求中都包含「Ping-From」和「Ping-To」這兩個HTTP頭，這也是迄今爲止第一次發現攻擊者使用<a>標籤的Ping屬性來實施DDoS攻擊。

　　Ping屬性

　　在攻擊活動中，「Ping-From」和「Ping-To」的值都引用了「http://booc[.]gz[.]bcebos[.]com/you[.]html」這個URL地址。

　　並且，請求中的User-Agent都跟咱們天天都會用到的一款聊天App-微信有關。

　　專家認爲，攻擊者利用了社工技術以及惡意廣告來欺騙微信用戶打開默認瀏覽器，下面是安全專家描述的攻擊場景：

　　一、 攻擊者搭建釣魚網站，並注入惡意廣告。

　　二、 在iframe中注入廣告並關聯合法網站，而後將其發送到微信羣。

　　三、 合法用戶訪問該網站後，惡意JavaScript代碼將會執行，並針對用戶點擊的連接建立」Ping」屬性。

　　四、 建立後將生成一個HTTP Ping請求，並經過合法用戶的瀏覽器發送給目標域名。

　　專家還表示，除了QQ瀏覽器以外，還有不少瀏覽器都會受到這種新型DDoS攻擊技術的影響。不過好消息就是，Firefox默認禁用了Ping屬性。

　　簡單分析

　　攻擊者在搭建惡意網站時，使用了兩個外部JavaScript文件，其中一個包含了DDoS攻擊目標的URL地址數組，另外一個JS文件主要用來從地址數組中隨機選取一個URL地址，並建立帶有Ping屬性的<a>標籤，而後經過代碼實現每秒訪問一次目標地址。

　　用戶只要不停瀏覽或停留在這個網頁上，他們的設備就會不斷向目標站點發送Ping請求。研究人員表示，若是這個網站有4000個用戶訪問的話，每一個小時大約能夠生成1400萬次惡意請求。

　　應對方案

　　若是你的Web服務器不但願或不須要接收來自於外部的Ping請求，你能夠在邊緣設備（防火牆或WAF等等）上屏蔽包含了「Ping-To」或「Ping-From」這兩個HTTP頭的任何Web請求，這樣就能夠抵禦這種攻擊了。