WordPress反弹攻击
近年来,遍布公网的DNS服务器、NTP服务器、数量繁多的SSDP设备等都被有心的黑客开发成了反射器,通过这些反射器打出来的DDoS攻击异军突起,占据了近些年来DDoS攻击很大的一部分比例。虽然这些反射器工作在7层,但打出来的攻击往往还是以大流量拥塞链路为主,跟传统的UDP大包在效果上没有什么本质区别,防御逻辑也相对简单,用ACL干掉特征的反弹源端口(比如SSDP的UDP 1900端口、NTP的UDP 123端口)即可,或是过滤掉对应攻击一定会包含的特征字段(如SSDP反射的“uuid”)。
wordpress
说了这么多背景,想必反弹攻击的思路您已经很清楚了,接下来介绍本文的重点:WordPress反弹攻击。相比于NTP等反射攻击,WordPress把反弹做到了7层,也就说我们常说的CC攻击。该攻击手法早在2014年就被披露,但根据我们对云盾用户DDoS攻击的监控情况,时至今日仍然大量出现在CC攻击中,并且往往用很低的成本和不大的流量(相对于流量型反弹攻击)就能耗尽一个普通站点的处理能力。鉴于这种攻击明显的特征和可识别性,特地给大家再分享一下。
WordPress是一种非常流行的博客平台,全球大概有20%的网站是而这种攻击的反射器就是公网上千百万基于WordPress搭建的站点(条件1满足),而条件2的满足则来源于一个叫做“pingback”的机制(通过一个叫“XML-RPC”的模块提供)。Pingback本来是用来通知网站系统文章被引用的一种手段,一个简单的POST请求就可以让它把包含引用的链接和引用页面地址的内容发送给一个被引用的站点或博客。当WordPress收到一个pingback请求时,它会自动回复一个响应给请求来源的页面去确认这个链接是