一直以來，DDoS攻擊就是網絡基礎設施和web應用的主要威脅。攻擊者也在不斷創建新的方式來利用合法服務進行惡意行為，迫使研究人員在CDN DDoS攻擊方面進行持續研究并構建高級緩解措施。

研究人員近期調查了一起主要來自亞洲用戶產生的DDOS攻擊事件。攻擊者使用了通用HTML5屬性<a> tag ping來誘使用戶在不經意間就參與了DDOS攻擊，攻擊中4個小時內對一個web站點發起了約7000萬次的請求。

但是攻擊者并不是利用了某個漏洞，而是將一個合法的特征變成了攻擊工具。幾乎所有參與攻擊的僵尸主機用戶都是騰訊QQ瀏覽器的用戶，主要用戶也是漢語國家用戶。最新消息證明攻擊還在持續。

攻擊原理

Ping是HTML5中的一個新特征，用戶在瀏覽頁面的時候就知道這個鏈接（也就是你上面的URL）是否真實有效，如果這個鏈接已經失效了，就用一些通知（比如將鏈接加上刪除線）來標識這樣的URL。當用戶點擊連接時，就會發送一個ping的POST請求給屬性中指定的URL，包括首部Ping-From, Ping-To, “text/ping”內容類型。

一個含有ping屬性的鏈接的HTML頁面如下所示：

含有ping的POST請求

WordPress CMS中也使用Pingback特征來通知網站所有者鏈接是否被點擊過。攻擊者也使用過Pingback以發送上百萬有漏洞的WordPress示例來執行DDOS攻擊。

除了使用HTML5 ping特征外，DDOS攻擊中參與的移動用戶主要來自同一個區域，這在之前的基于相同瀏覽器的DDOS攻擊中是非常少見的。

研究人員分析發現有大約4000個用戶IP參與了攻擊，絕大多數來自于中國。在4小時的攻擊活動中，請求生成的峰值是7500個每秒，一共生成了超過7000萬個請求。

研究人員通過日志分析的方式來分析攻擊，發現所有的惡意請求中都含有HTTP首部“Ping-From”和“Ping-To”。這也是研究人員首先遇到使用<a> tag ping屬性來發起DDOS攻擊。

DDOS攻擊生成的請求樣本

可疑的URL中含有非常簡單的HTML頁面，其中包含2個外部JS文件，分別是ou.js和yo.js。

“http://booc.gz.bcebos.com/you.html”源碼

“ou.js”有一個含有URL的JS數組，就是DDOS攻擊的目標。

“OU.JS”源碼

“yo.js”有一個函數可以從數組中隨機選擇目標，并創建一個指向該URL的含有ping屬性的<a> tag。

每秒鐘都會創建一個<a> tag，并自動編程點擊發送一個到目標網站的ping請求。

合法的用戶也會被誘騙來訪問這些網站，被動地參與DDOS攻擊。只要用戶停留在該頁面，就會持續不斷地產生ping請求。

“yo.js”JS源碼

有一個問題是如何讓用戶盡可能長的留在web頁面來持續觸發ping請求，維持DDOS攻擊的流量呢？

研究人員發現請求中的User-Agent與微信有關。微信使用默認的手機瀏覽器來打開消息中的鏈接，而許多用戶選擇QQ瀏覽器作為默認瀏覽器。

因此研究人員得出結論就是惡意廣告加上社會工程攻擊來觸發可疑的微信用戶打開瀏覽器。比如：

· 攻擊者出入惡意廣告來加載一個可疑的網頁

· 到含有惡意廣告的合法站點的鏈接出現在微信群中

· 合法用戶訪問含有惡意廣告的網頁

· JS代碼執行，創建一個含有ping屬性的鏈接

· 生成HTTP ping請求，并從合法用戶的瀏覽器發送到目標域

總結

本次攻擊活動中主要是使用QQ瀏覽器來發起DDOS攻擊，但是其他web瀏覽器也可以被利用來發起ping attack。而瀏覽器開發者采取了措施讓用戶很難關掉瀏覽器的ping特征，這樣用戶不可避免的會參與攻擊。

但web服務器仍然可以通過防火墻、WAF等攔截含有“Ping-To”、“Ping-From” HTTP headers的請求。攻擊者在不斷尋找新的方式來濫用合法服務進行惡意攻擊，網絡攻防永無止境。

本文翻譯自：https://www.imperva.com/blog/the-ping-is-the-thing-popular-html5-feature-used-to-trick-chinese-mobile-users-into-joining-latest-ddos-attack/如若轉載，請注明原文地址： https://www.4hou.com/web/17462.html更多內容請關注“嘶吼專業版”——Pro4hou

總結

以上是生活随笔為你收集整理的a标签hidden属性_HTML5属性a标签ping被用于DDOS攻击，QQ浏览器被波及的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。