针对QQ手机浏览器滥用HTML超链接审计Ping工具的大规模DDoS攻击

关注 2019-04-16 06:05:11 查看数 9000 ,评论数 0 资讯

研究人员在QQ手机浏览器受到攻击后发现了一种新型滥用基于HTML5 Ping的超链接审计特性的DDoS攻击。



Imperva研究人员Vitaly Simonovich和Dima Bekerman监测到一次攻击,该攻击最高点达7,500个请求/秒,并在4个小时内从约4,000个用户IP发出了超过7千万个请求。什么概念呢?2016年类似的一次基于Android的手机DDoS攻击是从27,000个独特IP中实现了每秒400个请求的峰值。


新攻击使用的是HTML5 ping属性,其可以合法跟踪网站链接上的点击次数,一些隐私人士甚至将其视为一种用户跟踪形式。'Ping ='包含在普通的在线超链接代码中。单击链接时,会发送一个不可见的'ping ='url内容变量,该变量也用户看不到,网站管理员可以监控、审核从特定网站发送特定链接的访问者数量。


虽说这种新攻击主要来自QQ浏览器用户,但该技术几乎可以应用到任何浏览器上。Firefox是少数几个默认禁用ping属性的浏览器之一;Chrome 74 Beta版本正在取消禁用超链接审核功能,这意味着可能在2019年5月发布后,Chromium浏览器(如Edge,Chrome,Opera和Safari)将永久启用超链接审核。


用户访问经两个外部JavaScript文件而设计的网页,其中一个含URL的数组,这也是主要针对游戏网站DDoS攻击的目标;另外一个JS文件有一个函数,它从数组中随机选择一个URL,创建带有'ping'属性的<a>标签,并以编程方式每秒点击该链接。访问者只要在浏览器中打开该网站,超链接审核ping就会向其发送,4,000多名用户深陷其中、每小时最多可能超1400万个请求。这种攻击需要让用户访问精心设计的网页,并尽可能长时间地在浏览器中打开。


研究人员提出一种可能的结合社会工程和恶意广告场景,也许已经在这次攻击中使用:攻击者将恶意广告注入合法网站。网站越受欢迎,受DDoS的可能性就越大。之后,具有恶意添加的网站链接会被发布到大型微信群里。然后,访问者和来自微信聊天组的访问者将自动、不知不觉地开始ping目标URL,且将继续以每秒一次的速率执行此操作,以便在浏览器中打开中毒选项卡。


虽然这种攻击方法有可能在任何地方用于对抗任何目标,但一个简单的防御方法是阻止任何包含边缘设备上的”Ping-To“和/或”Ping-From“HTTP header的Web请求”(防火墙,WAF等),这会阻止ping请求不会命中你的服务器。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...