Pingback
A Pingback ist eine von vier Arten von zurückverlinken Methoden für Netz Autoren, um eine Benachrichtigung anzufordern, wenn jemand Links zu einem ihrer Dokumente. Auf diese Weise können Autoren verfolgen, wer mit ihren Artikeln verknüpft oder sich auf ihre Artikel bezieht. Etwas Weblog Software und Content -Management -Systeme, wie zum Beispiel WordPress, Beweglicher Typ, Glücklicher Zufall, und Telligent CommunityUnterstützung automatischer Pingbacks, bei denen alle Links in einem veröffentlichten Artikel sein können Pinged Wenn der Artikel veröffentlicht wird. Andere Content -Management -Systeme, wie z. Drupal und JoomlaUnterstützen Sie Pingbacks durch die Verwendung von Addons oder Erweiterungen.
Im Wesentlichen ist ein Pingback ein XML-RPC Anfrage (nicht mit einem ICMP verwechselt werden Klingeln) gesendet von Site A zu Site B, wenn ein Autor des Blogs auf Site A einen Beitrag schreibt, der auf Site B verlinkt. Die Anfrage enthält die Uri der Verknüpfungsseite. Wenn Site B das Benachrichtigungssignal empfängt, kehrt es automatisch wieder auf Site A zurück, um eine Überprüfung eines live eingehenden Links zu überprüfen. Wenn dieser Link existiert, wird der Pingback erfolgreich aufgezeichnet. Dies macht Pingbacks weniger anfällig für Spam als Trackbacks. Pingback-fähige Ressourcen müssen entweder einen X-Pingback verwenden Header oder enthalten a Element zum XML-RPC-Skript.
Geschichte
Die Pingback -Spezifikation wurde 2002 von entwickelt Stuart Langridge, Simon Willson und Ian Hickson.[1][2][3][4][5]
Heldentaten
Im März 2014, Akamai veröffentlichte einen Bericht über einen weithin gesehenen Exploit mit Pingback, der anfällig anfällig ist WordPress Standorte.[6] Dieser Exploit führte zu massivem Missbrauch legitimer Blogs und Websites und verwandelte sie zu unwilligen Teilnehmern in a DDOs Attacke.[7] Details zu dieser Sicherheitsanfälligkeit werden seit 2012 veröffentlicht.[8] mit Akismet Die Berichterstattung im Jahr 2013, dass "fast 100% der Trackbacks und Pingbacks Spam sind".[9]
Die Pingback -Angriffe bestehen aus "Reflexion" und "Verstärkung": Ein Angreifer sendet einen Pingback in einen legitimen Blog A, liefert jedoch Informationen über den legitimen Blog B ((Imitation).[10] Anschließend muss das Blog A blog B für die Existenz des informierten Links überprüfen, da das Pingback -Protokoll funktioniert, und somit lädt es die Seite aus dem Blog B -Server herunter, was A verursacht. Betrachtung.[10] Wenn die Zielseite groß ist, ist dies verstärkt Der Angriff, weil eine kleine Anfrage, die an Blog A gesendet wurde[10] Dies kann zu 10x, 20x und noch größeren Verstärkungen führen (DOS).[10] Es ist sogar möglich, mehrere Reflektoren zu verwenden, um zu verhindern, dass sie die einzelnen von ihnen ausschöpfen, und die kombinierte Verstärkungsleistung jedes einzelnen Ziels durch Überlastung der Bandbreite oder der Server -CPU (die Zielblog B "(DDOs).[10]
WordPress hat ein wenig verändert, wie die Pingback -Funktion diese Art von Sicherheitsanfälligkeit mindert: Die IP -Adresse, die den Pingback (die Angreiferadresse) entstanden, wurde aufgezeichnet und somit im Protokoll gezeigt.[11] Ungeachtet dessen existierten im Jahr 2016 weiterhin Pingback -Angriffe, angeblich weil die Website -Eigentümer die Benutzervertreterprotokolle nicht überprüfen, die die realen IP -Adressen haben.[11][10] Es muss beachtet werden, dass, wenn der Angreifer mehr als ein ist Skript KiddieEr wird wissen, wie er verhindern kann, dass seine IP -Adresse aufgezeichnet wird, indem er beispielsweise die Anforderung von einem anderen Computer/Standort sendet, damit diese Maschine/Site -IP -Adresse stattdessen aufgezeichnet wird und die IP -Protokollierung dann weniger würdig wird.[12] Daher wird immer noch empfohlen, die Pingbacks zu deaktivieren, um zu verhindern, dass andere Standorte angreifen (obwohl dies nicht verhindert, dass das Ziel von Angriffen ist).[11]
Siehe auch
- Weblogs.comEine frühere XML-RPC-Schnittstelle für Weblogs zum Senden von Pingbacks.
- Webment, Eine moderne Neuauflagen von Pingback unter Verwendung von HTTP und X-WWW-Urlencoded Postdaten.
- ZurückverlinkenDie Protokolle, die es Websites ermöglicht, manuell und automatisch miteinander zu verknüpfen.
- Refback, ein ähnliches Protokoll, aber einfacher als Pingbacks, da die auf dem Link stammende Site nicht in der Lage sein muss, einen Pingback zu senden.
- Zurückverfolgen, ein ähnliches Protokoll, aber anfälliger für Spam.
- Suchmaschinenoptimierung
Verweise
- ^ Langridge, Stuart (7. Juli 2002). "Trackback automatisch geschehen". web.archive.org. Archiviert von das Original Am 2002-12-22. Abgerufen 2022-05-31.
- ^ Willison, Simon (2. September 2002). "Pingback implementiert". Simonwillison.net. Abgerufen 2022-05-31.
- ^ Hickson, Ian (2002-09-23). "Hixies natürliches Protokoll: Pingback 1.0". ln.hixie.ch. Archiviert vom Original am 2002-12-06. Abgerufen 2022-05-31.
- ^ "Pingback 1.0". Simonwillison.net. 2002-09-24. Archiviert vom Original am 2003-08-26. Abgerufen 2022-05-31.
- ^ "Pingback 1.0". www.hixie.ch. Abgerufen 2022-05-31.
- ^ Brenner, Bill. "Anatomie von WordPress XML-RPC-Pingback-Angriffen". Der Akamai -Blog, 31. März 2014 5:42 Uhr. Abgerufen 7. Juli, 2014.
- ^ Cid, Daniel. "Mehr als 162.000 WordPress -Websites, die für die verteilte Ablehnung des Serviceangriffs verwendet werden". Sucuri Blog, 10. März 2014. Abgerufen 7. Juli, 2014.
- ^ Calin, Bogdan. "WordPress Pingback Schwachstellen". Accunetix, 17. Dezember 2012 - 13:17 Uhr. Abgerufen 7. Juli, 2014.
- ^ Susan Richards (2013-05-21). "Spammer verwenden Trackbacks, Pingbacks und Reblogs". Gefrorener Typ. Abgerufen 2022-05-31.
- ^ a b c d e f Krassi Tzvetanov (4. Mai 2016). "WordPress Pingback -Angriff". A10 -Netzwerke. Abgerufen 2. Februar 2017.
Dieses Problem ergibt sich aus der Tatsache, dass es einem Angreifer A möglich ist, sich als T -Blog auszugeben, indem er sich mit Rs Blog verbindet und eine Linkbenachrichtigung sendet, die den Blog von T als die Entstehung der Benachrichtigung festlegt. Zu diesem Zeitpunkt versucht K automatisch, eine Verbindung zu T herzustellen, um den Blog -Beitrag herunterzuladen. Dies wird als Reflexion bezeichnet. Wenn der Angreifer darauf geachtet hätte, eine URL auszuwählen, die viele Informationen enthält, würde dies eine Verstärkung verursachen. Mit anderen Worten, für eine relativ kleine Anfrage des Angreifers (a) zum Reflektor verbindet sich der Reflektor (R) mit dem Ziel (t) und verursacht eine große Menge an Verkehr. [...] Auf der Reflektorseite für die 200-Byte-Anfrage kann die Antwort leicht Tausende von Bytes betragen, was zu einer Multiplikation führt, die in den 10-fachen, 20-fachen und mehr beginnt. [...] Um das Überladen des Reflektors zu vermeiden, können mehrere Reflektoren verwendet werden, um zu skalieren. Somit wird das Ziel seine ausgehende Bandbreite haben und möglicherweise erschöpft Ressourcen berechnen. [...] Ein weiterer Punkt ist die Rechenressourcen, die an die Zielseite gebunden sind. Wenn es sich um eine Seite berücksichtigt, die rechnerisch teuer ist, ist es für den Angreifer möglicherweise effizienter, die CPU eines Systems als die Bandbreite der Verbindung zu überladen. [...] Dies ist nicht das erste Mal, dass ein CMS und insbesondere WordPress für DDOs oder andere böswillige Aktivitäten verwendet werden. Dies liegt in sehr großem Maße daran, dass WordPress Benutzer anspricht, die nicht über die Ressourcen verfügen, um ihre Websites zu verwalten, und sie häufig WordPress verwenden, um ihre Arbeit zu erleichtern. Infolgedessen haben viele Benutzer kein angemessenes Patch -Management -Programm oder eine ordnungsgemäße Überwachung, um Unregelmäßigkeiten in ihrem Verkehr zu beobachten.
- ^ a b c Daniel CID (17. Februar 2016). "WordPress -Sites nutzten in DDOS -Kampagnen in Layer 7". Sucuri. Abgerufen 2. Februar 2017.
Ab Version 3.9 begann WordPress mit der Aufzeichnung der IP -Adresse, an der die Pingback -Anfrage stammt. Das verringerte den Wert der Verwendung von WordPress als Teil eines Angriffs; Die Plattform würde nun die ursprüngliche IP -Adresse der Angreifer aufzeichnen und im Protokollbenutzeragenten angezeigt werden. [...] Trotz der potenziellen Wertreduzierung bei der IP -Protokollierung verwenden Angreifer diese Technik immer noch. Wahrscheinlich, weil die Website -Eigentümer selten die Benutzervertreterprotokolle überprüfen, um die reale IP -Adresse der Besucher abzuleiten. [...] Obwohl es großartig ist, dass WordPress die IP -Adresse des Angreifers in neueren Veröffentlichungen protokolliert, empfehlen wir dennoch, dass Sie Pingbacks auf Ihrer Website deaktivieren. Es wird Sie nicht davor schützen, angegriffen zu werden, sondern verhindert Ihre Website daran, andere anzugreifen.
- ^ Tim Butler (25. November 2016). "Analyse eines WordPress -Pingback -DDOS -Angriffs". Conetix. Abgerufen 2. Februar 2017.
Eine Verbesserung WordPress wurde den Pingbacks in 3.7 hinzugefügt, die zumindest die Ursprungs -IP der Anforderung verfolgten. Dies löst das Problem zwar nicht, aber es ermöglicht es Ihnen, zu verfolgen, woher die Anrufe stammen. Sofern der Angreifer jedoch nicht sehr, sehr naiv ist, verfolgt diese IP einfach auf eine andere infizierte Maschine oder Website zurück. Im Allgemeinen sind diese Antragssysteme Teil eines Botnetzes, um die Anforderungen zu maskieren und zu verteilen. [...] Das Pingback -Tool in WordPress bleibt nach wie vor ein Ausbeutungssystem für jede WordPress -Site, die es nicht explizit gestoppt hat. Aus der Sicht eines Web -Hosts ist dies ziemlich frustrierend.