WordPress反弹攻击是哪种意思
发布时间:2022-06-08 03:29:40 所属栏目:优化 来源:互联网
导读:近年来,遍布公网的DNS服务器、NTP服务器、数量繁多的SSDP设备等都被有心的黑客开发成了反射器,通过这些反射器打出来的DDoS攻击异军突起,占据了近些年来DDoS攻击很大的一部分比例。虽然这些反射器工作在7层,但打出来的攻击往往还是以大流量拥塞链路为主,
|
近年来,遍布公网的DNS服务器、NTP服务器、数量繁多的SSDP设备等都被有心的黑客开发成了反射器,通过这些反射器打出来的DDoS攻击异军突起,占据了近些年来DDoS攻击很大的一部分比例。虽然这些反射器工作在7层,但打出来的攻击往往还是以大流量拥塞链路为主,跟传统的UDP大包在效果上没有什么本质区别,防御逻辑也相对简单,用ACL干掉特征的反弹源端口(比如SSDP的UDP 1900端口、NTP的UDP 123端口)即可,或是过滤掉对应攻击一定会包含的特征字段(如SSDP反射的“uuid”)。 说了这么多背景,想必反弹攻击的思路您已经很清楚了,接下来介绍本文的重点:WordPress反弹攻击。相比于NTP等反射攻击,WordPress把反弹做到了7层,也就说我们常说的CC攻击。该攻击手法早在2014年就被披露,但根据我们对云盾用户DDoS攻击的监控情况,时至今日仍然大量出现在CC攻击中,并且往往用很低的成本和不大的流量(相对于流量型反弹攻击)就能耗尽一个普通站点的处理能力。鉴于这种攻击明显的特征和可识别性,特地给大家再分享一下。 WordPress是一种非常流行的博客平台,全球大概有20%的网站是而这种攻击的反射器就是公网上千百万基于WordPress搭建的站点(条件1满足),而条件2的满足则来源于一个叫做“pingback”的机制(通过一个叫“XML-RPC”的模块提供)。Pingback本来是用来通知网站系统文章被引用的一种手段,一个简单的POST请求就可以让它把包含引用的链接和引用页面地址的内容发送给一个被引用的站点或博客。当WordPress收到一个pingback请求时,它会自动回复一个响应给请求来源的页面去确认这个链接是否真实存在,利用这个机制,攻击者就可以指定受害者的地址,构造包含真实链接的pingback请求,通过“反弹”来打到CC攻击的目的。这种请求非常容易构造,一个curl命令就足够了,所以只要手上掌握了一定数量的WP站点,就特别容易批量发动攻击。 早期的反弹攻击如SYN反弹,攻击者把SYN包的源IP改成受害者的IP发给一堆服务器(这堆服务器就是反射器),后者收到后会全部按照三次握手的规则回复SYN/ACK给受害者,这样在受害者看来会收到一堆莫名其妙来自不同IP的SYN/ACK,效果上形成了SYN/ACK的DDoS攻击。这种手法现在已经很少有人用,因为攻击者的成本不低,而且很多服务器已经能防御这类攻击手段,但这种思路产生的影响极其深远,花样百出的“反射器”不断被黑客们挖掘出来,并且还逐渐加入了“放大”的功力。 (编辑:衡阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
