寫在前面:
本文中的黑客利用XSS控制的僵尸網絡進行DDosS攻擊,存在漏洞的視頻網站,被云安全服務提供商隱去了名字,會是youtube嗎?我們不得而知。
正文:
基于應用層的分布式拒絕服務攻擊(distributed denial of service)是一種復雜的web攻擊,他利用看似合法的請求流量攻擊網站的特定區域,這使得的這種攻擊手法更加的難以預防和捕獲。
昨天,云安全服務提供商Incapsula發現了一種使用流量劫持的方式進行的DDOS,這次攻擊使用2000萬次get流量席卷了Incapsula的一個用戶,這2000萬次的流量均來自于22000萬互聯網用戶的瀏覽器。
這次攻擊的成因是,黑客掌握了一個,世界最大的最出名的網站的存儲型注入點。
XSS vulnerability to Large-Scale DDoS Attack(XSS漏洞是如何轉變為DDos攻擊的)
Incapsula的報告并未有指出存在漏洞的網站的名字,但在報告中提及此網站是一個視頻網站,注冊用戶可以上傳自己的頭像。
DDos攻擊的成因是因為,攻擊者可以在用戶的自定義頭像中插入邪惡的javascript代碼。所以當合法的用戶訪問這些存在漏洞的頁面時(這些頁面包含了攻擊者的評論,評論中包含頭像),攻擊者藏在頭像中的惡意javascript代碼就會被執行,這段代碼向用戶瀏覽器中插入一個隱藏的iframe,其地址指向DDos攻擊者的C&C服務器。
根據Incapsula所說,攻擊者使用一個基于 Ajax-script 的DDos工具控制著DDos攻擊的頻率。
Incapsula的安全研究員說"每秒一次的攻擊看似不多,但是當每個10分鐘的視頻每分鐘都有成千上萬的用戶進行觀看的時候,這些看似不起眼的訪問就會變成一場可怕的DDos風暴。"
為了加強DDos的效果,攻擊者會在很多熱門的視頻下方留言,當你正在看“萬萬沒想到”的時候,你已經不知不覺的成為
僵尸網絡的一員了。
Intercepting the Attack(攻擊的攔截和檢測)
不過這種攻擊最終還是被,Incapsula基于行為識別的安全算法攔截了,對DDos工具行為的預測使我們的防御更加有效。
Incapsula的安全研究人員“通過攔截惡意的請求,并把目標url的內容替換成一段返回refer的Javascript,我們甚至可以追溯到攻擊的源頭,這種方法吧我們引向了這個百經蹂躪的視頻網站。在最近的幾次攻擊中,攻擊者還升級了它們DDos工具的版本,這說明昨天的幾次攻擊只不過是試探性的攻擊。”
這個漏洞現已經被修復。
京公網安備 11010502049343號