近日Imperva的研究人員發現，稱為超鏈接審核或ping的HTML功能正被用于對各種站點執行DDoS攻擊。站點通常使用此功能來跟蹤鏈接點擊，但現在發現攻擊者濫用此功能向站點發送大量Web請求以使其脫機。

[[262866]]

DDoS攻擊

對于那些不熟悉超鏈接審核的人來說，它是一種HTML功能，允許網站跟蹤鏈接的點擊次數。要創建超鏈接審核URL或ping，您只需創建一個普通的超鏈接HTML標記，包含一個ping =“[url]”變量，如下所示。

Ping HTML鏈接

在上圖的示例中，當用戶點擊鏈接時，他們的瀏覽器將首先通過POST請求連接到https://www.bleepingcomputer[.]com/pong[.]php，然后將瀏覽器定向到Google。這就會導致您的瀏覽器在單擊單個鏈接時連接到兩個不同的站點。

接收ping的網頁可以檢查POST請求標頭，以查看點擊的原始頁面 (Ping-From header)以及鏈接到達的頁面 (Ping-To header)。

雖然不像JS和重定向跟蹤那樣常見，但Google搜索結果中使用了此功能，Google可以跟蹤其鏈接的點擊次數。

Ping被濫用來執行DDoS攻擊

在Imperva的新研究中，研究人員發現攻擊者利用HTML ping來對各種站點進行分布式拒絕服務攻擊。 在此次攻擊過程中，Imperva檢測到4,000個IP地址，涉及在4小時內發送大約7,000萬個請求。該攻擊高點達每秒7,500個請求。2016年類似的一次基于Android的手機DDoS攻擊是從27,000個獨特IP中實現了每秒400個請求的峰值。

峰值7,500每秒請求數(RPS)

奇怪的是，Imperva觀察到的所有PING請求都顯示Ping-To 和Ping-Fromt 標頭值來自http：//booc.gz.bcebos [.] com / yo.js?version = cc000001。奇怪在于通常來說鏈接URL與點擊鏈接的URL不同。

您可以在下面看到此攻擊的POST ping請求示例。

示例Ping發布請求

從Ping-To和Ping-From標頭檢查you.html頁面時，Imperva能夠了解發生了什么。you.html頁面(如下所示)加載了兩個可執行HTML ping DDoS攻擊的JS文件。

you.html頁面上的腳本

ou.js文件(如下所示)包含一系列針對DDoS攻擊的網站。Imperva表示大多數目標網站針對的都是游戲公司。

一系列DDoS目標(OU.jsg)

如下圖所示yo.js腳本將隨機選擇上述站點之一，并創建一個HTML ping URL，該站點作為ping目標。然后它將以編程方式單擊鏈接，如link.click()命令所示。

生成鏈接并單擊它的功能(yo.js)

然后，JavaScript將創建一個新的HTML ping URL并每秒點擊一次。因此用戶訪問此頁面時將生成最多次數的點擊次量。

我們可以注意到請求中的User-Agent與中文聊天應用程序微信相關聯。微信使用默認的移動瀏覽器打開郵件中的鏈接。而QQ瀏覽器在中國很受歡迎同屬于騰訊，許多用戶會選擇它作為智能手機的默認瀏覽器。

Imperva的理論是攻擊者利用社交工程和惡意廣告將用戶引導到托管這些腳本的頁面。欺騙毫無戒心的微信用戶打開瀏覽器，這是一種可能的情況：

1、攻擊者將惡意廣告注入合法網站

2、使用iframe中的惡意廣告鏈接到合法網站會發布到大型微信群聊

3、合法用戶通過惡意廣告訪問該網站

4、執行JavaScript代碼，創建一個包含用戶點擊的“ping”屬性的鏈接

5、生成HTTP ping請求并從合法用戶的瀏覽器發送到目標域

瀏覽器可阻止您禁用HTML ping

好消息是，如上所述，通過在瀏覽器中禁用超鏈接審核，很容易阻止大多數瀏覽器被用于超鏈接審計ping攻擊。

不好的是，除了Firefox和Brave之外，Chrome，Edge，Safari和Opera等瀏覽器默認啟用超鏈接審核，大多數允許您禁用它。但這些瀏覽器的未來版本或許將不再允許用戶根本禁用超鏈接審核。 無法禁用超鏈接審核不僅是一種隱私風險，也是許多人關注的原因，但這項新的研究表明它遠比之前理解的要糟糕。

既然我們知道這個功能正在分布式攻擊中使用，那么用戶能夠比以往任何時候都更有能力禁用此功能。目前默認禁用超鏈接審核并繼續提供禁用方法的瀏覽器是Firefox和Brave。