利用WAF进行拒绝服务攻击

• 原创 BaoGuo (CleverBao)

一、拒绝服务攻击

• 拒绝服务攻击，英文名称是Denial of Service.

• 简称DOS，即拒绝服务,造成其攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

• 最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。

常规的dos攻击

由黑客控制多台服务器，让这多台服务器同时去请求一个目标机器，导致目标资源耗尽。

二、WAF

• 也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF

• Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

常见的WAF的防御原理

当黑客进行攻击时，所有的流量会被转移到WAF设备中进行清洗或者拦截，最终只把正常用户的请求转发给服务器。

常见WAF分类及厂商

1.云waf

云Waf是近年来随着云计算的推动衍生出来的新产品，云WAF，也称WEB应用防火墙的云模式，这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器。

2.Web防护软件

软件Waf则是安装在需要防护的服务器上，实现方式通常是Waf监听端口或以Web容器扩展方式进行请求检测和阻断。

3.硬件web防火墙

硬件Waf通常的安装方式是将Waf串行部署在Web服务器前端，用于检测、阻断异常流量。常规硬件Waf的实现方式是通过代理技术代理来自外部的流量，并对请求包进行解析，通过安全规则库的攻击规则进行匹配，如成功匹配规则库中的规则，则识别为异常并进行请求阻断。

常见国内的waf厂商请参考:

常见厂商WAF列表

常见WAF功能

拦截恶意攻击

webshell扫描

IP黑白名单

等等

三、利用WAf进行拒绝服务攻击

危害：

利用WAF进行拒绝服务攻击，当任意用户访问目标页面（有时可以是网站首页），浏览器将自动发送恶意攻击流量，服务器端将触发WAF规则，造成用户IP被封禁。最终所有触发WAF的用户将无法访问目标服务器。

这种攻击方式，不需要大量的肉鸡，不影响目标服务运行，但是可以让用户无法访问服务。

原理：

WAF的一个功能IP黑名单

开启高频Web攻击IP自动封禁功能，使WAF自动检测并封禁在短时间内进行多次Web攻击的客户端IP；被封禁IP在封禁时间内的请求将被直接拦截，封禁时间过后自动解除封禁。开启防护后，您可以自定义防护策略；（此功能需要管理员开启）。阿里云

IP临时黑名单，当检测到目标在60秒内非法访问1次后，封禁IP（此功能需要管理员开启）。安全狗

IP封禁，检测到目标IP进行攻击，就封禁IP（此功能需要管理员开启）。创宇盾

其他的带有封禁IP功能的WAF...

利用浏览器自动加载图片、js、css等静态资源的特性，诱导用户自动发送恶意请求到WAF，导致自己被WAF封禁IP。（类似于CSRF）

• 利用思路

• 在网站中查找可以进行控制的静态资源链接

• 修改资源链接，让其包含恶意攻击payload，比如and 1=1

• 让静态资源链接展示在网站显眼的位置，让普通用户打开网站就自动加载静态资源

• 浏览器自动请求恶意链接，触发WAF规则，导致正常用户IP被封禁

利用时有一个问题，修改静态资源链接时，需要把攻击payload加入到链接中，如果直接写并且发送到服务器中会触发WAF规则，修改失败。

此处利用WAF的一个检测顺序问题，在把payload加入到链接时进行为此url编码，比如imgurl=a.com/and 1=1.jpg，进行双url编码imgurl=a.com/and%25201%253d1.jpg，此时可以过WAF检测，服务器在收到后会进行url解码，变成imgurl=a.com/and%201%3d1.jpg，此时网站在显示图片时就是imgurl=a.com/and%201%3d1.jpg

然后普通用户浏览器在加载图片时，就会发送一个get请求，请求内包含a.com/and%201%3d1.jpg，此时会触发WAF规则，进行封禁IP。如果WAF规则是需要多次攻击触发，就可以尝试修改多个静态资源。

实例：利用WAF拒绝服务DiscuzX

主机安装安全狗web网站apache版，开启IP临时黑白名单功能，对于进行攻击的IP进行5分钟的封禁。

主机中搭建DiscuzX网站，在DiscuzX中存在大量可以进行自定义的图片。

通过在自定义的网络图片中，添加大量的双url编码后的攻击payload，进行攻击。

• 使用dz的纯文本模式，直接写payload

• 使用burp抓包

• 在burp中对img地址进行双url编码

• 此处的payload可以是任意的能够触发waf规则的恶意代码，进行双url编码。

• 发送到服务器后会进行url解码一次，存储到数据库中就是http://192.168.1.217/a.php?id=and%201%3D1.jpg，浏览器中进行加载的就是http://192.168.1.217/a.php?id=and 1=1.jpg。

发送完成之后，任意的普通用户访问此帖子后，会触发WAF规则，进行封禁。

• 普通用户可以正常访问目标网站

• 但是当它访问了恶意帖子后，他的IP被封禁

• 在这种攻击方式中，任何访问次帖子的计算机都会被封禁IP。

四、漏洞防御

• 网站管理员尽量不要使用封禁IP的功能，可以选择直接进行拦截。

• WAF厂商可以考虑升级一下规则。

文由先知社区