利用HTML5标签进行DDoS攻击的新方法揭秘

　　利用HTML5标签进行DDoS攻击的新方法揭秘

　　*严正声明：本文仅限于技术讨论与教育目的，严禁用于非法途径。

　　近期，来自Imperva Vitaly Simonovich和Dima Bekerman的安全研究专家发现了一种基于HTML5超连接审计功能（Ping标签）的大规模DDoS攻击。

　　新型DDoS攻击技术

　　在这次攻击活动中，DDoS攻击请求峰值达到了7500次请求/秒，在大概4个小时内攻击者总共利用了4000多个不一样的用户向攻击目标发送了超过7000万次恶意请求。

　　Imperva的研究人员在其发布的安全分析报告中指出：“咱们对这次DDoS攻击进行了深刻分析，而且发现攻击活动中涉及到的攻击流量大多数来自于亚洲地区。并且，攻击者主要使用的是经常使用的HTML5属性，即<a>标签中的ping属性，并以此欺骗用户让他们在绝不知情的状况下参与到攻击者的DDoS攻击活动中来。整个攻击活动持续了大约4个小时，并成功向攻击目标发送了大约7000万次恶意请求。“

　　研究人员还表示，在这次攻击活动中，攻击者并无利用任何安全漏洞，而是将合法的HTML5功能转换为了他们的攻击工具。值得一提的是，几乎全部“参与“到这次攻击中的用户都是QQ浏览器的用户，而这款浏览器的用户几乎所有都是咱们本身人。

　　经过对日志进行分析后，专家们发现全部的恶意请求中都包含“Ping-From”和“Ping-To”这两个HTTP头，这也是迄今为止第一次发现攻击者使用<a>标签的Ping属性来实施DDoS攻击。

　　Ping属性

　　在攻击活动中，“Ping-From”和“Ping-To”的值都引用了“http://booc[.]gz[.]bcebos[.]com/you[.]html”这个URL地址。

　　并且，请求中的User-Agent都跟咱们天天都会用到的一款聊天App-微信有关。

　　专家认为，攻击者利用了社工技术以及恶意广告来欺骗微信用户打开默认浏览器，下面是安全专家描述的攻击场景：

　　一、 攻击者搭建钓鱼网站，并注入恶意广告。

　　二、 在iframe中注入广告并关联合法网站，而后将其发送到微信群。

　　三、 合法用户访问该网站后，恶意JavaScript代码将会执行，并针对用户点击的连接建立”Ping”属性。

　　四、 建立后将生成一个HTTP Ping请求，并经过合法用户的浏览器发送给目标域名。

　　专家还表示，除了QQ浏览器以外，还有不少浏览器都会受到这种新型DDoS攻击技术的影响。不过好消息就是，Firefox默认禁用了Ping属性。

　　简单分析

　　攻击者在搭建恶意网站时，使用了两个外部JavaScript文件，其中一个包含了DDoS攻击目标的URL地址数组，另外一个JS文件主要用来从地址数组中随机选取一个URL地址，并建立带有Ping属性的<a>标签，而后经过代码实现每秒访问一次目标地址。

　　用户只要不停浏览或停留在这个网页上，他们的设备就会不断向目标站点发送Ping请求。研究人员表示，若是这个网站有4000个用户访问的话，每一个小时大约能够生成1400万次恶意请求。

　　应对方案

　　若是你的Web服务器不但愿或不须要接收来自于外部的Ping请求，你能够在边缘设备（防火墙或WAF等等）上屏蔽包含了“Ping-To”或“Ping-From”这两个HTTP头的任何Web请求，这样就能够抵御这种攻击了。