“宝刀”未老——WordPress反弹攻击那点事儿

“反弹攻击”是DDoS攻击中一种特别灵性的攻击方式，抛开攻击本身的罪恶只谈技术的话，这种攻击的设计思路往往有着“四两拨千斤”，又“深藏功与名”的效果。本文将分享一种经久不衰的七层反弹式CC攻击——WordPress反弹攻击的攻击原理和防护手法。

“反弹攻击”是DDoS攻击中一种特别灵性的攻击方式，抛开攻击本身的罪恶只谈技术的话，这种攻击的设计思路往往有着“四两拨千斤”，又“深藏功与名”的效果。

“四两拨千斤”说的其实是“放大”效果。攻击者往往用比较小的请求量就能发起比较大的攻击流量，比如传统攻击是攻击者需要真正打出10G的流量才能造成10G的攻击效果（实际可能还不到10G），但反弹攻击可能用1G的请求就能“反弹”出10G的实际攻击流量（具体的放大倍数取决于具体的攻击手段），这样攻击者的成本就相对小了很多。“深藏功与名”意味着反弹攻击往往在原理上就能隐藏掉攻击者的源IP，因为在受害者看来，源IP全部来源于“反射器”。

早期的反弹攻击如SYN反弹，攻击者把SYN包的源IP改成受害者的IP发给一堆服务器（这堆服务器就是反射器），后者收到后会全部按照三次握手的规则回复SYN/ACK给受害者，这样在受害者看来会收到一堆莫名其妙来自不同IP的SYN/ACK，效果上形成了SYN/ACK的DDoS攻击。这种手法现在已经很少有人用，因为攻击者的成本不低，而且很多服务器已经能防御这类攻击手段，但这种思路产生的影响极其深远，花样百出的“反射器”不断被黑客们挖掘出来，并且还逐渐加入了“放大”的功力。

作为“反射器”至少要具备以下两个特点：

1.      广泛分布且数量巨大

2.      有某种可以“反弹”的功能、漏洞、模块或交互机制

可以看到近年来，遍布公网的DNS服务器、NTP服务器、数量繁多的SSDP设备等都被有心的黑客开发成了反射器，通过这些反射器打出来的DDoS攻击异军突起，占据了近些年来DDoS攻击很大的一部分比例。虽然这些反射器工作在7层，但打出来的攻击往往还是以大流量拥塞链路为主，跟传统的UDP大包在效果上没有什么本质区别，防御逻辑也相对简单，用ACL干掉特征的反弹源端口（比如SSDP的UDP 1900端口、NTP的UDP 123端口）即可，或是过滤掉对应攻击一定会包含的特征字段（如SSDP反射的“uuid”）。

说了这么多背景，想必反弹攻击的思路您已经很清楚了，接下来介绍本文的重点：WordPress反弹攻击。相比于NTP等反射攻击，WordPress把反弹做到了7层，也就说我们常说的CC攻击。该攻击手法早在2014年就被披露，但根据我们对云盾用户DDoS攻击的监控情况，时至今日仍然大量出现在CC攻击中，并且往往用很低的成本和不大的流量（相对于流量型反弹攻击）就能耗尽一个普通站点的处理能力。鉴于这种攻击明显的特征和可识别性，特地给大家再分享一下。

WordPress是一种非常流行的博客平台，全球大概有20%的网站是而这种攻击的反射器就是公网上千百万基于WordPress搭建的站点（条件1满足），而条件2的满足则来源于一个叫做“pingback”的机制（通过一个叫“XML-RPC”的模块提供）。Pingback本来是用来通知网站系统文章被引用的一种手段，一个简单的POST请求就可以让它把包含引用的链接和引用页面地址的内容发送给一个被引用的站点或博客。当WordPress收到一个pingback请求时，它会自动回复一个响应给请求来源的页面去确认这个链接是否真实存在，利用这个机制，攻击者就可以指定受害者的地址，构造包含真实链接的pingback请求，通过“反弹”来打到CC攻击的目的。这种请求非常容易构造，一个curl命令就足够了，所以只要手上掌握了一定数量的WP站点，就特别容易批量发动攻击。

上图是云盾高防记录到的针对某站点的一次WP反弹攻击，可以这个pingback是来源于智利某IP。类似这样的请求直到今天依然每天都有几百万次，而且来自于南美（如巴西、墨西哥等国）、北美和国内的请求较多。

如下面云盾高防的日志记录所示，在短短5min时间内这种请求就有近12万次。这是云盾用户每天被CC攻击的一个缩影。

看到这里，WP反弹的攻击特征已经非常明显了，就是User-agent字段中会包含“WordPress”、“pingback”这样的字段，这是一定的，具体来源的IP可能是不固定的，这也就为我们防护这类攻击提供了思路：干掉包含这些特征UA的请求即可（思路上跟用ACL干掉UDP 123来防NTP反射是一样的）。

以Nginx为例，首先当怀疑网站被CC攻击时，可以粗略tail一下log文件，看看有没有满屏的“pingback”出现，也可以用

cat /var/log/nginx/access.log | grep "verifying pingback from" pingback_attack.log

来具体统计一下。确定遇到这类攻击时，打开网站的Nginx配置文件，找到server定义的部分（/etc/nginx/nginx.conf，或/etc/nginx/sites-enabled/your-site等，具体路径根据具体的Nginx和Linux版本来定），添加以下if声明到server定义的某个地方（大小写敏感）：

if ($http_user_agent ~ (WordPress|pingback) {

 return 403;

  上述语句可以将UA中包含“WordPress”或“pingback”的请求直接返回403（禁止访问）响应。当然配置完后要重新加载下Nginx的配置：

sudo …/nginx –s reload

配置完后，可以用curl或者wget命令，带上特定的UA去测试一下，如果能收到403的响应，说明配置成功了。

OK，现在你的服务器已经能够拦截这类攻击了。当然在本地服务器做策略对于缺乏运维能力的用户以及大规模的CC攻击还是有一定的局限性，这时就推荐用高性能的云清洗服务来提前拦截这类攻击。目前阿里云云盾高防IP已经支持相关的定制化策略对付这类攻击，Web应用防火墙也提供了自定义规则可以让用户通过简单的配置来完成防护：

重视WordPress建站安全性，WordPress定制开发如何发挥其安全性不被攻击 WordPress网站上每分钟有超过90，978次攻击，尽管这个数字听起来很大，但如果您遵循基本的安全规则，则可以防止大多数潜在攻击并使您的网站免受攻击。或者至少让它很难闯入，以至于黑客宁愿瞄准数千个安全性差的人之一。这并不难做到，特别是如果您考虑到许多攻击是在自动漏洞扫描程序找到潜在途径后执行的。那么，如何飙升WordPress网站安全性？WordPress定制开发如何发挥其安全性不被攻击？ 北京六翼信息技术有限公司的开发工程师给出以下是 6 个基本提示重视WordPress建站安全性的建议。
近十万台路由器组成僵尸网络，专门向WordPress网站发起撞库攻击 本文讲的是近十万台路由器组成僵尸网络，专门向WordPress网站发起撞库攻击，攻击者们正在劫持网络上存在安全缺陷的家庭路由器，命令这些设备向使用WordPress系统网站的后台入口发起爆破攻击。黑客希望爆破攻击能够猜出后台的管理员账号密码，从而控制受攻击网站。
WordPress建站教程：WordPress建立品牌网站的5大要素 很多人对建立品牌站很迷茫，其实一个好的品牌站能对企业有着深远又实际的影响，随着WordPress建立品牌网站需求越来越被大众追捧，但是依然有很多不知道如何下手的老板可以看一下北京六翼信息技术有限公司下面的分享。
如何防止您的 WordPress 网站被黑客入侵？WordPress安全吗？ 很多企业都很重视网站的安全性问题，很担心被挂码，或者网站被客户共计，虽然没有 100% 保证安全的站点这样的东西，但您可以采取一些措施来尽可能地强化站点。那么如何防止您的 WordPress 网站被黑客入侵？WordPress安全吗？[北京六翼信息技术有限公司](https://www.joowp.com/)joowp。Com的开发工程师给大家几点预防黑客入侵的建议。
六翼建站教程：如何提高WordPress网站的访问速度 根据 WordPress 统计数据，现有所有网站中约有 33% 使用 WordPress，而 CMS 构建的网站中有 60% 由 WordPress 提供支持，使网站管理员或开发人员更有责任创建具有出色用户体验的网站。当无法更快地加载内容，而 WordPress 计划似乎是在浪费精力。
用WordPress构建网站的7大优势——六翼建站分享 自从 WordPress 于 2003 年首次出现以来，它已经从一个博客平台发展成为一个成熟的网站开发和内容管理系统。事实上，估计有 30% 的网站（包括 CNN 和 eBay 等知名品牌）都是基于 WordPress 构建的。它当然已经走了很长一段路。 如果您正在研究您的网站选项或希望切换平台，您应该考虑使用 WordPress。北京六翼信息技术有限公司为您提供的七大优势：
建WordPress网站之后还需要做什么？wordpress建站靠谱吗？ 在分享创建 WordPress 网站之前，有很多人有疑问，wordpress建站靠谱吗？建WordPress网站之后还需要做什么？北京六翼信息技术有限公司作为十几年的老牌建站公司，可以明确告诉大家，WordPress 是一个很棒的内容管理工具，这一点无可否认。对于创建内容的人来说，它是持续不断的支持。