防范黑客ddos攻击：针对QQ手机浏览器滥用HTML超链接审计Ping工具的大规模DDoS攻击

防范黑客ddos攻击：针对QQ手机浏览器滥用HTML超链接审计Ping工具的大规模DDoS攻击本文作者：Gump，转载自：http://www.mottoin.com/detail/3892.html用户访问经两个外部JavaScript文件而设计的网页，其中一个含URL的数组，这也是主要针对游戏网站DDoS攻击的目标；另外一个JS文件有一个函数，它从数组中随机选择一个URL，创建带有'ping'属性的<a>标签，并以编程方式每秒点击该链接。访问者只要在浏览器中打开该网站，超链接审核ping就会向其发送，4 000多名用户深陷其中、每小时最多可能超1400万个请求。这种攻击需要让用户访问精心设计的网页，并尽可能长时间地在浏览器中打开。研究人员提出一种可能的结合社会工程和恶意广告场景，也许已经在这次攻击中使用：攻击者将恶意广告注入合法网站。网站越受欢迎，受DDoS的可能性就越大。之后，具有恶意添加的网站链接会被发布到大型微信群里。然后，访问者和来自微信聊天组的访问者将自动

研究人员在QQ手机浏览器受到攻击后发现了一种新型滥用基于HTML5 Ping的超链接审计特性的DDoS攻击。

Imperva研究人员Vitaly Simonovich和Dima Bekerman监测到一次攻击，该攻击最高点达7 500个请求/秒，并在4个小时内从约4 000个用户IP发出了超过7千万个请求。什么概念呢？2016年类似的一次基于Android的手机DDoS攻击是从27 000个独特IP中实现了每秒400个请求的峰值。

新攻击使用的是HTML5 ping属性，其可以合法跟踪网站链接上的点击次数，一些隐私人士甚至将其视为一种用户跟踪形式。'Ping ='包含在普通的在线超链接代码中。单击链接时，会发送一个不可见的'ping ='url内容变量，该变量也用户看不到，网站管理员可以监控、审核从特定网站发送特定链接的访问者数量。

虽说这种新攻击主要来自QQ浏览器用户，但该技术几乎可以应用到任何浏览器上。Firefox是少数几个默认禁用ping属性的浏览器之一；Chrome 74 Beta版本正在取消禁用超链接审核功能，这意味着可能在2019年5月发布后，Chromium浏览器（如Edge，Chrome，Opera和Safari）将永久启用超链接审核。

用户访问经两个外部JavaScript文件而设计的网页，其中一个含URL的数组，这也是主要针对游戏网站DDoS攻击的目标；另外一个JS文件有一个函数，它从数组中随机选择一个URL，创建带有'ping'属性的<a>标签，并以编程方式每秒点击该链接。访问者只要在浏览器中打开该网站，超链接审核ping就会向其发送，4 000多名用户深陷其中、每小时最多可能超1400万个请求。这种攻击需要让用户访问精心设计的网页，并尽可能长时间地在浏览器中打开。

研究人员提出一种可能的结合社会工程和恶意广告场景，也许已经在这次攻击中使用：攻击者将恶意广告注入合法网站。网站越受欢迎，受DDoS的可能性就越大。之后，具有恶意添加的网站链接会被发布到大型微信群里。然后，访问者和来自微信聊天组的访问者将自动、不知不觉地开始ping目标URL，且将继续以每秒一次的速率执行此操作，以便在浏览器中打开中毒选项卡。

虽然这种攻击方法有可能在任何地方用于对抗任何目标，但一个简单的防御方法是阻止任何包含边缘设备上的”Ping-To“和/或”Ping-From“HTTP header的Web请求”（防火墙，WAF等），这会阻止ping请求不会命中你的服务器。

本文作者：Gump，转载自：http://www.mottoin.com/detail/3892.html