利用HTML5标签进行DDoS攻击的新方法揭秘
字数 1531 2025-08-18 11:38:36

HTML5 Ping属性DDoS攻击技术分析与防御指南

1. 攻击技术概述

1.1 基本概念

  • 攻击类型:基于HTML5 <a>标签的ping属性的DDoS攻击
  • 攻击特点:利用合法HTML5功能而非漏洞,欺骗用户参与攻击
  • 首次发现:2019年由Imperva安全研究人员Vitaly Simonovich和Dima Bekerman发现

1.2 攻击规模

  • 峰值请求:7500次/秒
  • 持续时间:约4小时
  • 总请求量:超过7000万次
  • 参与用户:4000+不同用户
  • 主要来源:亚洲地区

2. 技术原理

2.1 HTML5 Ping属性机制

  • <a>标签的ping属性功能:
    • 当用户点击链接时,浏览器会向ping属性指定的URL发送POST请求
    • 请求包含两个特殊HTTP头:
      • Ping-From: 来源页面URL
      • Ping-To: 点击链接的目标URL

2.2 攻击实现方式

  1. 恶意代码注入

    • 攻击者搭建钓鱼网站或注入恶意广告
    • 使用两个外部JavaScript文件:
      • 一个包含DDoS目标URL数组
      • 另一个用于随机选择目标并创建带ping属性的<a>标签

  2. 自动化触发

    • 通过JavaScript代码每秒自动"点击"链接一次
    • 用户只需浏览或停留在网页上,设备就会持续发送Ping请求

  3. 传播途径

    • 通过iframe注入广告并关联合法网站
    • 通过社交媒体(如微信)传播恶意链接

3. 攻击特征分析

3.1 请求特征

  • HTTP头部包含:
    • Ping-From
    • Ping-To
  • 示例攻击中使用的URL:
    • http://booc[.]gz[.]bcebos[.]com/you[.]html
  • User-Agent特征:
    • 与微信相关

3.2 受影响浏览器

  • 主要受影响浏览器:
    • QQ浏览器(绝大多数攻击流量来源)
    • 其他支持HTML5 Ping属性且未默认禁用的浏览器
  • 已知安全浏览器:
    • Firefox(默认禁用Ping属性)

4. 攻击影响评估

4.1 攻击能力

  • 4000个并发用户可产生约1400万次请求/小时
  • 攻击可持续数小时,累计请求量可达数千万次

4.2 潜在风险

  • 用户不知情参与攻击
  • 难以通过传统DDoS防御手段识别
  • 利用合法功能,难以完全封堵

5. 防御方案

5.1 服务器端防御

  1. HTTP头过滤

    • 在边缘设备(防火墙/WAF)上屏蔽包含以下头的请求:
      • Ping-To
      • Ping-From

  2. 速率限制

    • 对来自同一IP的Ping请求实施速率限制

5.2 客户端防御

  1. 浏览器配置

    • 禁用HTML5 Ping功能(如Firefox默认设置)
    • 使用内容安全策略(CSP)限制外部脚本

  2. 用户教育

    • 避免点击不明链接
    • 警惕微信群传播的可疑网站

5.3 网络层面防御

  • 监控异常Ping请求流量模式
  • 实施基于行为的DDoS检测机制

6. 检测与响应

6.1 攻击检测

  • 监控日志中异常的Ping-From/Ping-To头出现频率
  • 关注来自QQ浏览器或其他特定User-Agent的突发流量

6.2 应急响应

  1. 确认攻击后立即:
    • 实施HTTP头过滤规则
    • 联系CDN/DDoS防护服务提供商
  2. 收集攻击样本:
    • 保存恶意JS文件
    • 记录攻击源IP和传播途径

7. 补充说明

7.1 合法用途

  • Ping属性设计初衷:
    • 用于跟踪链接点击统计
    • 无需JavaScript即可实现简单分析

7.2 技术限制

  • 攻击依赖用户访问恶意页面并保持打开状态
  • 需要一定规模的用户群体才能产生显著影响

8. 参考资源

  • Imperva安全分析报告
  • HTML5规范中关于Ping属性的说明
  • 主要浏览器对Ping属性的支持情况文档

注:本文仅用于技术研究和防御目的,严禁用于任何非法活动。

HTML5 Ping属性DDoS攻击技术分析与防御指南 1. 攻击技术概述 1.1 基本概念 攻击类型:基于HTML5 <a> 标签的 ping 属性的DDoS攻击 攻击特点:利用合法HTML5功能而非漏洞,欺骗用户参与攻击 首次发现:2019年由Imperva安全研究人员Vitaly Simonovich和Dima Bekerman发现 1.2 攻击规模 峰值请求:7500次/秒 持续时间:约4小时 总请求量:超过7000万次 参与用户:4000+不同用户 主要来源:亚洲地区 2. 技术原理 2.1 HTML5 Ping属性机制 <a> 标签的 ping 属性功能: 当用户点击链接时,浏览器会向 ping 属性指定的URL发送POST请求 请求包含两个特殊HTTP头: Ping-From : 来源页面URL Ping-To : 点击链接的目标URL 2.2 攻击实现方式 恶意代码注入 : 攻击者搭建钓鱼网站或注入恶意广告 使用两个外部JavaScript文件: 一个包含DDoS目标URL数组 另一个用于随机选择目标并创建带 ping 属性的 <a> 标签 自动化触发 : 通过JavaScript代码每秒自动"点击"链接一次 用户只需浏览或停留在网页上,设备就会持续发送Ping请求 传播途径 : 通过iframe注入广告并关联合法网站 通过社交媒体(如微信)传播恶意链接 3. 攻击特征分析 3.1 请求特征 HTTP头部包含: Ping-From Ping-To 示例攻击中使用的URL: http://booc[.]gz[.]bcebos[.]com/you[.]html User-Agent特征: 与微信相关 3.2 受影响浏览器 主要受影响浏览器: QQ浏览器(绝大多数攻击流量来源) 其他支持HTML5 Ping属性且未默认禁用的浏览器 已知安全浏览器: Firefox(默认禁用Ping属性) 4. 攻击影响评估 4.1 攻击能力 4000个并发用户可产生约1400万次请求/小时 攻击可持续数小时,累计请求量可达数千万次 4.2 潜在风险 用户不知情参与攻击 难以通过传统DDoS防御手段识别 利用合法功能,难以完全封堵 5. 防御方案 5.1 服务器端防御 HTTP头过滤 : 在边缘设备(防火墙/WAF)上屏蔽包含以下头的请求: Ping-To Ping-From 速率限制 : 对来自同一IP的Ping请求实施速率限制 5.2 客户端防御 浏览器配置 : 禁用HTML5 Ping功能(如Firefox默认设置) 使用内容安全策略(CSP)限制外部脚本 用户教育 : 避免点击不明链接 警惕微信群传播的可疑网站 5.3 网络层面防御 监控异常Ping请求流量模式 实施基于行为的DDoS检测机制 6. 检测与响应 6.1 攻击检测 监控日志中异常的 Ping-From / Ping-To 头出现频率 关注来自QQ浏览器或其他特定User-Agent的突发流量 6.2 应急响应 确认攻击后立即: 实施HTTP头过滤规则 联系CDN/DDoS防护服务提供商 收集攻击样本: 保存恶意JS文件 记录攻击源IP和传播途径 7. 补充说明 7.1 合法用途 Ping属性设计初衷: 用于跟踪链接点击统计 无需JavaScript即可实现简单分析 7.2 技术限制 攻击依赖用户访问恶意页面并保持打开状态 需要一定规模的用户群体才能产生显著影响 8. 参考资源 Imperva安全分析报告 HTML5规范中关于Ping属性的说明 主要浏览器对Ping属性的支持情况文档 注:本文仅用于技术研究和防御目的,严禁用于任何非法活动。