藍鷗旗下品牌:鷗課學院
全國咨詢電話:17710209900
您的位置: 首頁 > 最新資訊 > 利用H5超鏈接ping標簽進行DDoS攻擊

可以在线投注的app篮彩:利用H5超鏈接ping標簽進行DDoS攻擊

2019-05-14 藍鷗
1213人 瀏覽:

虎扑论坛篮彩神棍区 www.vatvkw.com.cn        近期,來自Imperva Vitaly Simonovich和Dima Bekerman的安全研究專家發現了一種基于HTML5超鏈接審計功能(Ping標簽)的大規模DDoS攻擊。

1.jpg

新型DDoS攻擊技術

       在此次攻擊活動中,DDoS攻擊請求峰值達到了7500次請求/秒,在大概4個小時內攻擊者總共利用了4000多個不同的用戶向攻擊目標發送了超過7000萬次惡意請求。

       Imperva的研究人員在其發布的安全分析報告中指出:“我們對此次DDoS攻擊進行了深入分析,并且發現攻擊活動中涉及到的攻擊流量大多數來自于亞洲地區。而且,攻擊者主要使用的是常用的HTML5屬性,即<a>標簽中的ping屬性,并以此欺騙用戶讓他們在毫不知情的情況下參與到攻擊者的DDoS攻擊活動中來。整個攻擊活動持續了大約4個小時,并成功向攻擊目標發送了大約7000萬次惡意請求?!?/span>

       研究人員還表示,在此次攻擊活動中,攻擊者并沒有利用任何安全漏洞,而是將合法的HTML5功能轉換為了他們的攻擊工具。值得一提的是,幾乎所有“參與“到此次攻擊中的用戶都是QQ瀏覽器的用戶,而這款瀏覽器的用戶幾乎全部都是我們自己人。

       通過對日志進行分析后,專家們發現所有的惡意請求中都包含“Ping-From”和“Ping-To”這兩個HTTP頭,這也是迄今為止第一次發現攻擊者使用<a>標簽的Ping屬性來實施DDoS攻擊。

Ping屬性

       在攻擊活動中,“Ping-From”和“Ping-To”的值都引用了“//booc[.]gz[.]bcebos[.]com/you[.]html”這個URL地址。

       而且,請求中的User-Agent都跟我們每天都會用到的一款聊天App-微信有關。

專家認為,攻擊者利用了社工技術以及惡意廣告來欺騙微信用戶打開默認瀏覽器,下面是安全專家描述的攻擊場景:

1、 攻擊者搭建釣魚網站,并注入惡意廣告。

2、 在iframe中注入廣告并關聯合法網站,然后將其發送到微信群。

3、 合法用戶訪問該網站后,惡意JavaScript代碼將會執行,并針對用戶點擊的鏈接創建”Ping”屬性。

4、 創建后將生成一個HTTP Ping請求,并通過合法用戶的瀏覽器發送給目標域名。

2.jpg

專家還表示,除了QQ瀏覽器之外,還有很多瀏覽器都會受到這種新型DDoS攻擊技術的影響。不過好消息就是,Firefox默認禁用了Ping屬性。

簡單分析

       攻擊者在搭建惡意網站時,使用了兩個外部JavaScript文件,其中一個包含了DDoS攻擊目標的URL地址數組,另一個JS文件主要用來從地址數組中隨機選取一個URL地址,并創建帶有Ping屬性的<a>標簽,然后通過代碼實現每秒訪問一次目標地址。

       用戶只要不停瀏覽或停留在這個網頁上,他們的設備就會不斷向目標站點發送Ping請求。研究人員表示,如果這個網站有4000個用戶訪問的話,每個小時大約可以生成1400萬次惡意請求。

應對方案

       如果你的Web服務器不希望或不需要接收來自于外部的Ping請求,你可以在邊緣設備(防火墻或WAF等等)上屏蔽包含了“Ping-To”或“Ping-From”這兩個HTTP頭的任何Web請求,這樣就可以抵御這種攻擊了。

20190328.jpg

招生專業】:網絡安全

招生人數】:30人

開班時間】:2019-5-15

推薦崗位】:等保測試工程師、安全服務工程師、滲透測試工程師、安全運維工程師、代碼審計工程師等

授課老師】:李老師、必火、朱老師

      【李老師簡介

       15年IT從業經驗,8年企業ERP軟件開發經驗。他開發過大型國企的ERP管理軟件和電廠ERP軟件,熟悉企業管理的業務流程;2年移動互聯網產品經理。

       國內最早接觸iOS開發和從事iOS教學的工程師。6年以來,一直致力于蘋果應用軟件及驅動的開發和研究及專業人才的培養工作。不僅如此,而且李老師產品經驗豐富,對C、C++、Java、JavaScript、Cocos游戲引擎非常精通。

       參與過哈票網站產品設計,主導手機WAP網站設計和iOS客戶端產品設計,開發過多款iOS平臺項目和Android項目,如:yoyokvknowlege、寺庫(iPad)、航旅縱橫、團寶網、繪本等。

      【授課特點

       在課堂上他能從行業及產品方面引導學生。比較注重學習方法的引導。而且,他經常結合生活的案例把復雜的知識點講清楚,注重設計模式方面的教學。

      【必火簡介

       參加過中美黑客大戰,擅長代碼審計,滲透測試與漏洞挖掘技術;精通php,java,.net,c++等編程語言,開發過C++遠程控制系統;精通MySql、Mssql數據庫,多年滲透測試攻防經驗、對waf繞過有深入研究;

      【授課特點

       授之以漁而非授之以魚,擅長引導學生學習,鍛煉學生思維擴展能力,注重學生自主學習能力的培養。

      【班級介紹

       1、本班型從零基礎開始授課,迭代式教學,由淺入深。 

       2、小班制授課,每個班級人數20人,保障教師上課效果,讓學員學會、學精。 

       3、入學簽訂就業協議,確保合格畢業學員獲得高薪工作。

3.jpg

1.jpg

2.jpg

  1. 廣告1
  2. 廣告2
  3. 廣告3
  4. 廣告4