DDoS-Angriffe (Distributed Denial of Service) waren schon immer eine Herausforderung für die Netzwerk-Infrastruktur und Webanwendungen. Jetzt untersuchte Imperva einen solchen Angriff, und fand heraus, dass nicht etwa eine Schwachstelle, sondern das legale HTML5-Attribut „Ping“ dafür benutzt wurde. Deshalb soll hier kurz erklärt werden, wie das funktionierte.

Der Ablauf der Attacke

Eigentlich wurde das Ping-Tag eingeführt, um Website-Betreibern erkennen zu lassen, wenn ein Link angeklickt wurde. Zu dem Zweck verweist das Attribut auf eine beliebige URL, um so über den Klick zu informieren oder den Klick in eine Datenbank zu schreiben.

Bei der untersuchten mehrstündigen DDoS-Attacke  gelang es damit aber immerhin, von nahezu 4000 Anwender-IP-Adressen aus bis zu 7500 Anfragen je Sekunde auszulösen. Im Laufe der Attacke wurden so ca. 70 Millionen Anfragen erzeugt.

Es ist noch nicht ganz klar, wie die Hintermänner des Angriffs die Benutzer dabei zur Mitwirkung bewegen konnten. Eingespannt wurden für diese Attacke Benutzer des chinesischen Chat-Dienstes WeChat mit dem dafür meist eingesetzten QQ-Browser.

Die Sicherheitsexperten von Imperva vermuten, dass hier Social Engineering in Kombination mit bösartig präparierten Inseraten zum Einsatz kam. So könnte der Link zu einer Website mit der bösartigen Werbung in einem Iframe in großen WeChat-Gruppenchats veröffentlicht worden sein und die ahnungslosen Nutzer zum Besuch der Website gebracht haben. Solange sie sich dann dort aufhielten, wurden dadurch durchgehend Pings für den DDoS-Angriff erzeugt.

Wie so ein HTML5-Ping-Link aussieht

Das HTML5-Ping-Attribut zu einem Link, das als Tracking-Funktion recht umstritten ist, lässt sich recht einfach nutzen, hier ein Beispiel dafür:

<a href=”https://www.webwork-magazin.de“ ping=“https//allofus.de/”>

Das dürfte auch noch in Zukunft gut funktionieren, den die Browserhersteller sind gerade dabei, den Benutzern das Abschalten der Ping-Funktion in Chrome, Safari, Edge und Opera nicht mehr zu ermöglichen – was eine Gegenwehr Missbrauchter gegen den Angriff nahezu unmöglich macht.

Selbst Mozilla soll jetzt in Erwägung ziehen, Pings im Firefox standardmäßig zu aktivieren…