利用HTML5标签进行DDoS攻击的新方法揭秘

时间: 2019-05-14阅读: 251标签: 安全

*严正声明:本文仅限于技术讨论与教育目的,严禁用于非法途径。

近期,来自Imperva Vitaly Simonovich和Dima Bekerman的安全研究专家发现了一种基于HTML5超链接审计功能(Ping标签)的大规模DDoS攻击。


新型DDoS攻击技术

在此次攻击活动中,DDoS攻击请求峰值达到了7500次请求/秒,在大概4个小时内攻击者总共利用了4000多个不同的用户向攻击目标发送了超过7000万次恶意请求。

Imperva的研究人员在其发布的安全分析报告中指出:“我们对此次DDoS攻击进行了深入分析,并且发现攻击活动中涉及到的攻击流量大多数来自于亚洲地区。而且,攻击者主要使用的是常用的HTML5属性,即<a>标签中的ping属性,并以此欺骗用户让他们在毫不知情的情况下参与到攻击者的DDoS攻击活动中来。整个攻击活动持续了大约4个小时,并成功向攻击目标发送了大约7000万次恶意请求。“

研究人员还表示,在此次攻击活动中,攻击者并没有利用任何安全漏洞,而是将合法的HTML5功能转换为了他们的攻击工具。值得一提的是,几乎所有“参与“到此次攻击中的用户都是QQ浏览器的用户,而这款浏览器的用户几乎全部都是我们自己人。

通过对日志进行分析后,专家们发现所有的恶意请求中都包含“Ping-From”和“Ping-To”这两个HTTP头,这也是迄今为止第一次发现攻击者使用<a>标签的Ping属性来实施DDoS攻击。


Ping属性

在攻击活动中,“Ping-From”和“Ping-To”的值都引用了“ http://booc [.]gz[.]bcebos[.]com/you[.]html”这个URL地址。

而且,请求中的User-Agent都跟我们每天都会用到的一款聊天App-微信有关。

专家认为,攻击者利用了社工技术以及恶意广告来欺骗微信用户打开默认浏览器,下面是安全专家描述的攻击场景:

1、 攻击者搭建钓鱼网站,并注入恶意广告。

2、 在iframe中注入广告并关联合法网站,然后将其发送到微信群。

3、 合法用户访问该网站后,恶意JavaScript代码将会执行,并针对用户点击的链接创建”Ping”属性。

4、 创建后将生成一个HTTP Ping请求,并通过合法用户的浏览器发送给目标域名。

专家还表示,除了QQ浏览器之外,还有很多浏览器都会受到这种新型DDoS攻击技术的影响。不过好消息就是,Firefox默认禁用了Ping属性。


简单分析

攻击者在搭建恶意网站时,使用了两个外部JavaScript文件,其中一个包含了DDoS攻击目标的URL地址数组,另一个JS文件主要用来从地址数组中随机选取一个URL地址,并创建带有Ping属性的<a>标签,然后通过代码实现每秒访问一次目标地址。

用户只要不停浏览或停留在这个网页上,他们的设备就会不断向目标站点发送Ping请求。研究人员表示,如果这个网站有4000个用户访问的话,每个小时大约可以生成1400万次恶意请求。


应对方案

如果你的Web服务器不希望或不需要接收来自于外部的Ping请求,你可以在边缘设备(防火墙或WAF等等)上屏蔽包含了“Ping-To”或“Ping-From”这两个HTTP头的任何Web请求,这样就可以抵御这种攻击了。


参考来源: securityaffairs ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM    
原文  https://www.freebuf.com/articles/web/202390.html 

 

链接: http://www.fly63.com/article/detial/3326

HTTPS为什么是安全的?

超文本传输协议HTTP被用于在web浏览器和网站服务器之间传递信息,但以明文方式发送内容,被攻击者截取就可以直接读取内容信息,不适合传输敏感信息。为解决这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS

14个Linux系统安全小妙招

对于互联网IT从业人员来说,越来越多的工作会逐渐转移到Linux系统之上,这一点,无论是开发、运维、测试都应该是深有体会。曾有技术调查网站W3Techs于2018年11月就发布一个调查报告,报告显示Linux在网站服务器的系统中使用率高达37.2%

网站被劫持的方式都有哪些?

网络安全日益严峻,站长朋友们多多少少都遇到过被黑被劫持的经历,对于老老实实做人,认认真真做站的朋友来说,好不容易做出了一点成绩,一劫持就又回到解放前了,本期我们一起来探讨常见的网站被黑被劫持的手段有哪些

前端必须知道的 HTTP 安全头配置

在本文中,我将介绍常用的安全头信息设置,并给出一个示例。内容安全策略(CSP)常用来通过指定允许加载哪些资源来防止跨站点脚本攻击。在接下来所介绍的所有安全头信息中,CSP 可能是创建和维护花费时间最多的而且也是最容易出问题的

什么是SSL证书?SSL证书的好处

互联网发展至今,已经让人们对它产生了很大的依赖,很多交易都是在网上进行的。然而,网络攻击事件也在与日俱增,网络安全已经成为一件大事,这就不得不用到SSL证书了。

如何构建网络安全策略?

组织面临着对其信息系统和数据的诸多威胁。了解网络安全的所有基本要素是攻克这些威胁的第一步。网络安全是确保信息的完整性、保密性和可用性(ICA)的实践

最全 HTTP 安全响应头设置指南

CSP 通过指定允许加载哪些资源的形式,来防止跨站脚本注入。在本文所列的安全响应报头中,正确地设置和维护 CSP,可能是最耗时的,也是最容易出现风险的。在开发 CSP 的过程中,要谨慎充分地测试它

浏览器显示“网站连接不安全”,是什么原因?

Chrome 浏览器显示“网站连接不安全”,这可能是您最近访问网站时经常遇到的问题,浏览器地址栏中域名前面显示圆圈i图标和“不安全”字样,点击这个字样,就会看到红字警告“你与此网站之间建立的连接不安全”,这是怎么回事?

贯彻 10 项原则,构建 Linux 系统安全体系

通过大量的实践经验,我们总结出 10 个最关键且有效的安全原则,分别是纵深防御、运用 PDCA 模型、最小权限法则、白名单机制、安全的失败、避免通过隐藏来实现安全、入侵检测、不要信任基础设施

js安全问题:不安全的JS

在某些特别的场景下,我们需要编译执行外部输入的JS代码。在浏览器端,我们可以借助new Function 、eval等API。而在 node 端,我们可以借助vm模块实现一个沙箱,运行外部输入的JS 代码。但无论是浏览器端,还是node端

fly63.com版权所有,内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权,请与小编联系!情况属实本人将予以删除!

广告赞助文章投稿关于web前端网站点搜索站长推荐网站地图站长QQ:522607023

小程序专栏: 土味情话心理测试脑筋急转弯幽默笑话段子句子语录成语大全