Пингбэк
Пингбэк — это один из четырех типов методов обратной ссылки , позволяющих веб- авторам запрашивать уведомление, когда кто-то ссылается на один из их документов. Это позволяет авторам отслеживать, кто ссылается на их статьи или ссылается на них. Некоторые программы для веб-логов и системы управления контентом , такие как WordPress , Movable Type , Serendipity и Telligent Community , поддерживают автоматические пингбэки, при которых все ссылки в опубликованной статье могут быть проверены при публикации статьи. Другие системы управления контентом, такие как Drupal и Joomla , поддерживают пингбэки за счет использования надстроек или расширений.
По сути, pingback — это запрос XML-RPC (не путать с пингом ICMP ), отправляемый с сайта A на сайт B, когда автор блога на сайте A пишет сообщение, которое ссылается на сайт B. Запрос включает в себя URI ссылающейся страницы. Когда сайт B получает сигнал уведомления, он автоматически возвращается на сайт A, проверяя наличие активной входящей ссылки. Если эта ссылка существует, pingback записывается успешно. Это делает пингбэки менее подверженными спаму, чем трекбэки . Ресурсы с поддержкой Pingback должны либо использовать заголовок X-Pingback , либо содержать <link>
элемент в сценарий XML-RPC.
История [ править ]
Спецификация Pingback была разработана в 2002 году Стюартом Лэнгриджем , Саймоном Уиллисоном и Яном Хиксоном . [1] [2] [3] [4] [5]
Эксплойты [ править ]
В марте 2014 года компания Akamai опубликовала отчет о широко распространенном эксплоите, связанном с pingback, который нацелен на уязвимые WordPress . сайты [6] Этот эксплойт привел к массовому злоупотреблению законными блогами и веб-сайтами и превратил их в невольных участников DDoS- атаки. [7] Подробности об этой уязвимости публикуются с 2012 года. [8] В 2013 году Akismet сообщил , что «почти 100% обратных ссылок и пингбеков являются спамом». [9]
Атаки pingback состоят из «отражения» и «усиления»: злоумышленник отправляет pingback в легитимный блог A, но предоставляет информацию о легитимном блоге B ( олицетворение ). [10] Затем блог A должен проверить блог B на наличие информированной ссылки, поскольку именно так работает протокол pingback, и, таким образом, он загружает страницу с сервера блога B, вызывая отражение . [10] Если целевая страница большая, это усиливает атаку, поскольку небольшой запрос, отправленный в блог А, заставляет его сделать большой запрос к блогу Б. [10] Это может привести к 10-кратному, 20-кратному и даже большему усилению ( DoS ). [10] Можно даже использовать несколько отражателей, чтобы предотвратить истощение каждого из них, и использовать совокупную мощность усиления каждого для истощения целевого блога B за счет перегрузки полосы пропускания или процессора сервера ( DDoS ). [10]
WordPress немного изменил принцип работы функции pingback, чтобы смягчить такого рода уязвимости: IP-адрес, с которого был отправлен pingback (адрес злоумышленника), начал записываться и, таким образом, отображаться в журнале. [11] Тем не менее, в 2016 году пингбэк-атаки продолжали существовать, предположительно потому, что владельцы веб-сайтов не проверяют логи пользовательских агентов, у которых есть реальные IP-адреса. [11] [10] Следует отметить, что если злоумышленник не просто скрипт-кидди , он будет знать, как предотвратить запись его IP-адреса, например, отправив запрос с другого компьютера/сайта, чтобы IP-адрес этой машины/сайта Вместо этого записывается адрес, и тогда регистрация IP становится менее значимой. [12] Таким образом, по-прежнему рекомендуется отключать пингбэки, чтобы предотвратить атаки на другие сайты (хотя это не мешает стать объектом атак). [11]
См. также [ править ]
- Weblogs.com — более ранний интерфейс XML-RPC для отправки пингбеков блогами.
- Webmention , современная повторная реализация Pingback с использованием HTTP и данных POST в кодировке x-www-urlencode.
- Linkback — набор протоколов, который позволяет веб-сайтам вручную и автоматически ссылаться друг на друга.
- Refback — аналогичный протокол, но более простой, чем pingback, поскольку сайт, создающий ссылку, не обязательно должен иметь возможность отправлять pingback.
- Trackback — аналогичный протокол, но более подвержен спаму.
- Поисковая оптимизация
Ссылки [ править ]
- ^ Лэнгридж, Стюарт (7 июля 2002 г.). «Автоматическое выполнение TrackBack» . Архивировано из оригинала 22 декабря 2002 г. Проверено 31 мая 2022 г.
- ^ Уиллисон, Саймон (2 сентября 2002 г.). «Pingback реализован» . simonwillison.net . Проверено 31 мая 2022 г.
- ^ Хиксон, Ян (23 сентября 2002 г.). «Естественный журнал Хикси: Pingback 1.0» . ln.hixie.ch . Архивировано из оригинала 6 декабря 2002 г. Проверено 31 мая 2022 г.
- ^ «Пингбэк 1.0» . simonwillison.net . 24 сентября 2002 г. Архивировано из оригинала 26 августа 2003 г. Проверено 31 мая 2022 г.
- ^ «Пингбэк 1.0» . www.hixie.ch . Проверено 31 мая 2022 г.
- ^ Бреннер, Билл. «Анатомия атак Wordpress XML-RPC Pingback» . Блог Akamai, 31 марта 2014 г., 5:42 . Проверено 7 июля 2014 г.
- ^ Сид, Дэниел (10 марта 2014 г.). «Более 162 000 сайтов WordPress использовались для распределенной атаки типа «отказ в обслуживании»» . Блог Sucuri, 10 марта 2014 г. Проверено 7 июля 2014 г.
- ^ Калин, Богдан (17 декабря 2012 г.). «Уязвимость WordPress Pingback» . Accunetix, 17 декабря 2012 г. — 13:17 . Проверено 7 июля 2014 г.
- ^ Сьюзан Ричардс (21 мая 2013 г.). «Спамеры используют трекбэки, пингбэки и реблоги» . ПЯТЫЙ ТИП . Проверено 31 мая 2022 г.
- ↑ Перейти обратно: Перейти обратно: а б с д и ж Краси Цветанов (4 мая 2016 г.). «Атака WordPress pingback» . Сети А10 . Проверено 2 февраля 2017 г.
Эта проблема возникает из-за того, что злоумышленник A может выдать себя за блог T, подключившись к блогу R и отправив уведомление о ссылке, в котором блог T указан как источник уведомления. В этот момент K автоматически попытается подключиться к T, чтобы загрузить сообщение из блога. Это называется отражением. Если бы злоумышленник тщательно выбрал URL-адрес, содержащий много информации, это привело бы к усилению. Другими словами, при относительно небольшом запросе от злоумышленника (А) к отражателю отражатель (R) подключится к цели (Т) и вызовет большой объем трафика. [...] На стороне отражателя для 200-байтового запроса ответ может легко составлять тысячи байтов, что приводит к умножению, которое начинается с 10x, 20x и более. [...] Чтобы избежать перегрузки отражателя, для масштабирования можно использовать несколько отражателей. Таким образом, исходящая полоса пропускания и, возможно, вычислительные ресурсы цели будут исчерпаны. [...] Еще один момент, который следует учитывать, — это вычислительные ресурсы, привязанные к целевой стороне. Если рассматривать страницу, создание которой требует больших вычислительных затрат, для злоумышленника может оказаться более эффективным перегрузить ЦП системы, а не пропускную способность соединения. [...] Это не первый случай, когда CMS, и в частности WordPress, используется для DDoS или другой вредоносной деятельности. В значительной степени это связано с тем, что WordPress привлекает пользователей, у которых нет ресурсов для управления своими веб-сайтами, и они часто используют WordPress, чтобы облегчить свою работу. В результате у многих пользователей нет адекватной программы управления исправлениями или надлежащего мониторинга для выявления нарушений в их трафике.
- ↑ Перейти обратно: Перейти обратно: а б с Дэниел Сид (17 февраля 2016 г.). «Сайты WordPress, используемые в DDoS-кампаниях уровня 7» . Сукури . Проверено 2 февраля 2017 г.
Начиная с версии 3.9, WordPress начал записывать IP-адрес источника запроса pingback. Это уменьшило ценность использования WordPress в качестве части атаки; платформа теперь будет записывать исходный IP-адрес злоумышленника, и он будет отображаться в журнале пользовательского агента. [...] Несмотря на потенциальное снижение ценности ведения журнала IP, злоумышленники все еще используют эту технику. Вероятно, потому, что владельцы веб-сайтов редко проверяют журналы пользовательских агентов, чтобы узнать реальный IP-адрес посетителей. [...] Хотя это здорово, что WordPress регистрирует IP-адрес злоумышленника в новых версиях, мы все же рекомендуем вам отключить пингбэки на вашем сайте. Это не защитит вас от атак, но не позволит вашему сайту атаковать других.
- ^ Тим Батлер (25 ноября 2016 г.). «Анализ DDOS-атаки WordPress Pingback» . Конетикс . Проверено 2 февраля 2017 г.
Одно усовершенствование, добавленное WordPress к пингбэкам в версии 3.7, по крайней мере, отслеживало исходный IP-адрес запроса. Хоть это и не решает проблему, но, по крайней мере, позволяет отслеживать, откуда поступают звонки. Однако, если злоумышленник не очень, очень наивен, этот IP-адрес просто будет отслежен до другой зараженной машины или сайта. Обычно эти системы запросов являются частью ботнета, предназначенного для маскировки и распространения запросов. [...] Инструмент pingback в WordPress по-прежнему остается системой, которую можно использовать для любого сайта WordPress, который явно не остановил его. С точки зрения веб-хостинга это весьма неприятно.