Solicitações no estilo DDOS de usuários inicialmente legítimos do Firefox revisão 52 (mais recente) - extensão causando isso?

4

Gostaria de saber se alguém viu fenómenos semelhantes ao que um site que ajudo a gerenciar está experimentando. Nas últimas duas semanas, cerca de 10 a 15 vezes por dia, receberemos milhares a dezenas de milhares de solicitações de um único IP.

Esses IPs são de todo o mundo, principalmente dos EUA. Todos usam a revisão 52 do Firefox.

Veja um exemplo dos nossos registros:

[06/Apr/2017:11:58:10 -0500] XXX.XXX.XXX.XXX - - "GET / HTTP/1.1" 403 173 "[URL]" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"

A parte comum de todas estas instâncias é: "WOW64; rv: 52.0) Gecko / 20100101 Firefox / 52.0". Às vezes o sistema operacional é diferente.

Recebemos cerca de 8 a 10 solicitações por segundo e, em seguida, ele geralmente pára (demora muito tempo depois que nosso limitador de taxa gera erros). Eu já vi até 350.000 solicitações de uma só vez.

No começo eu pensei que era de um botnet, uma vez que continuou aparecendo por toda parte. Mas você pensaria que eles fariam ataques mais coordenados.

Então eu entrei e percebi que, às vezes, esses visitantes navegavam pelo site, clicavam em um artigo ou liam o fórum, e então os pedidos malucos aconteceriam. Os URIs específicos não têm nada em comum.

Pesquisei os IPs de alguns desses ataques em nosso banco de dados e alguns até são colaboradores legítimos da comunidade.

Minha hipótese é que isso é causado por uma extensão do navegador que é incompatível de alguma forma com o Firefox 52, já que isso só acontece com essa revisão. O tráfego não parece malicioso.

Eu me pergunto se alguém está vendo "ataques" familiares ou se alguém tem uma idéia da causa.

    
por Erik Westlund 06.04.2017 / 19:08

1 resposta

3

Eu suspeito que você esteja vendo sintomas deste bug do Firefox: O iframe em cache executa scripts inseridos anteriormente e inseridos dinamicamente, faz chamadas de rede antes do evento "onload".

Isso afeta sites em um iframe. O site usa iframes, ou é um site popular que os golpistas podem ter embutido em um iframe?

Aqui está um comentário do bug:

I am working for AdTech company and after Firefox 52 we noticed increase (about 5x) in ad requests from Firefox browser, but actual number of ads our scripts are able to track left the same.

A correção está fora, mas eu esperaria muito navegador não conectado por algum tempo.

Olhando para o agente de usuário que você forneceu, ele não parece estar fornecendo um nível de correção refinado, então seria muito difícil bloqueá-lo no lado do servidor.

    
por 09.04.2017 / 01:28

Tags