针对 HTML5 超链接审核功能（Ping 标签）的大规模 DDoS 攻击

Imperva Vitaly Simonovich 和 Dima Bekerman 专家 的安全研究检测到基于 HTML5 超链接审核功能（Ping 标签）的大规模 DDoS 攻击。

全新DDoS攻击技术

本次攻击中，DDoS攻击请求最高达到7500请求/秒。在大约4个小时的时间里，攻击者利用超过4000个不同的用户向目标发送攻击。收到恶意请求超过7000万次。

Imperva研究人员在安全分析报告中表示：“我们对此次DDoS攻击进行了深入分析，发现此次攻击涉及的攻击流量大部分来自亚洲。此外，攻击者主要使用常用的HTML5属性，即标签中的ping属性，并利用该属性诱骗用户在用户不知情的情况下参与攻击者的DDoS攻击活动。整个攻击持续约4小时，成功向用户发送了约7000万个恶意请求攻击目标。”

研究人员还表示，本次攻击活动中的攻击者并没有利用任何安全漏洞，而是使用合法的 HTML5 函数转换为攻击工具。值得一提的是，“参与”这次攻击的用户几乎都是QQ浏览器的用户，而这个浏览器的用户几乎都是我们自己。

分析日志后，专家发现所有恶意请求都包含“Ping-From”和“Ping-To”两个HTTP标头。这也是迄今为止首次发现攻击者利用标签的Ping属性实施DDoS攻击。

Ping属性

在攻击活动中，“Ping-From”和“Ping-To”的值均指“http://booc[.]gz[.]bcebos[.] com /du[ .] html”这个 URL。

另外，请求中的User-Agent与我们日常使用的聊天应用微信相关。

专家认为，攻击者正在利用社交工程技术和恶意广告来诱骗微信用户打开默认浏览器。以下是Security 专家描述的攻击场景：

1。攻击者构建钓鱼网站并注入恶意广告。

2。在iframe中注入广告并链接到合法网站，然后发送到微信群。

3。合法用户访问该网站后，恶意JavaScript代码将被执行，并为用户点击的链接创建“Ping”属性。

4。创建完成后，会生成HTTP Ping请求，并通过合法用户的浏览器发送到目标域名。

专家还表示，除了QQ浏览器之外，还有很多浏览器都会受到这种新的DDoS攻击技术的影响。但好消息是 Firefox 默认禁用 Ping 属性。

简单分析

攻击者在构建恶意网站时，使用了两个外部JavaScript文件。其中一个包含DDoS攻击目标的URL地址数组，另一个JS文件主要用于从地址数组中随机选择一个。 URL地址并创建一个带有Ping属性的标签，然后使用代码每秒访问一次目标地址。

只要用户继续浏览或停留在该页面，他们的设备就会继续向目标网站发送 ping 请求。研究人员表示，如果该网站有 4000 名用户访问，每小时大约会产生 1400 万个恶意请求。

对策

如果您的Web服务器不想或不需要接收来自外部的Ping请求，您可以在边缘设备（防火墙或WAF等）上阻止包含“Ping-To”或“Ping”的消息。 ) -From” 这两个 HTTP 标头适用于任何 Web 请求，这样就可以抵御这种攻击。