前台开发入门到实战：利用HTML5标签进行DDoS攻击的新方法揭秘

*严正公告：本文仅限于技术探讨与教育目的，严禁用于非法途径。

近期，来自Imperva Vitaly Simonovich和Dima Bekerman的安全研究专家发现了一种基于HTML5超链接审计功能（Ping标签）的大规模DDoS攻击。

新型DDoS攻击技术

在此次攻击活动中，DDoS攻击请求峰值达到了7500次请求/秒，在大概4个小时内攻击者总共利用了4000多个不同的客户向攻击目标发送了超过7000万次恶意请求。

Imperva的研究人员在其发布的安全分析报告中指出：“我们对此次DDoS攻击进行了深入分析，并且发现攻击活动中涉及到的攻击流量大多数来自于亚洲地区。而且，攻击者主要使用的是常用的HTML5属性，即<a>标签中的ping属性，并以此欺骗客户让他们在毫不知情的情况下参加到攻击者的DDoS攻击活动中来。整个攻击活动持续了大约4个小时，并成功向攻击目标发送了大约7000万次恶意请求。“

研究人员还表示，在此次攻击活动中，攻击者并没有利用任何安全漏洞，而是将合法的HTML5功能转换为了他们的攻击工具。值得一提的是，几乎所有“参加“到此次攻击中的客户都是QQ浏览器的客户，而这款浏览器的客户几乎一律都是我们自己人。

通过对日志进行分析后，专家们发现所有的恶意请求中都包含“Ping-From”和“Ping-To”这两个HTTP头，这也是迄今为止第一次发现攻击者使用<a>标签的Ping属性来实施DDoS攻击。
。

Ping属性

在攻击活动中，“Ping-From”和“Ping-To”的值都引用了“ http://booc [.]gz[.]bcebos[.]com/you[.]html”这个URL地址。

而且，请求中的User-Agent都跟我们每天都会用到的一款聊天App-微信有关。

专家认为，攻击者利用了社工技术以及恶意广告来欺骗微信誉户打开默认浏览器，下面是安全专家形容的攻击场景：

1、 攻击者搭建钓鱼网站，并注入恶意广告。

2、 在iframe中注入广告并关联合法网站，而后将其发送到微信群。

3、 合法客户访问该网站后，恶意JavaScript代码将会执行，并针对客户点击的链接创立”Ping”属性。

4、 创立后将生成一个HTTP Ping请求，并通过合法客户的浏览器发送给目标域名。

专家还表示，除了QQ浏览器之外，还有很多浏览器都会受到这种新型DDoS攻击技术的影响。不过好消息就是，Firefox默认禁用了Ping属性。

简单分析

攻击者在搭建恶意网站时，使用了两个外部JavaScript文件，其中一个包含了DDoS攻击目标的URL地址数组，另一个JS文件主要用来从地址数组中随机选取一个URL地址，并创立带有Ping属性的<a>标签，而后通过代码实现每秒访问一次目标地址。

客户只需不停浏览或者停留在这个网页上，他们的设施就会不断向目标站点发送Ping请求。研究人员表示，假如这个网站有4000个客户访问的话，每个小时大约可以生成1400万次恶意请求。

应对方案

假如你的Web服务器不希望或者不需要接收来自于外部的Ping请求，你可以在边缘设施（防火墙或者WAF等等）上屏蔽包含了“Ping-To”或者“Ping-From”这两个HTTP头的任何Web请求，这样即可以抵御这种攻击了。

自己是一个6年的前台工程师,希望本文对你有帮助！

这里推荐一下我的前台学习交流扣qun：731771211 ，里面都是学习前台的，假如你想制作酷炫的网页，想学习编程。自己整理了一份2019最全面前台学习资料，从最基础的HTML+CSS+JS【炫酷特效，游戏，插件封装，设计模式】到手机端HTML5的项目实战的学习资料都有整理，送给每一位前台小伙伴，每天分享技术

点击：加入