Eine kurze Diskussion über die Prinzipien und die Abwehr von DDoS-Angriffen mithilfe von JavaScript_Javascript-Kenntnissen-js-Tutorial-php.cn

Eine kurze Diskussion über die Prinzipien und die Abwehr von DDoS-Angriffen mithilfe von JavaScript_Javascript-Kenntnissen

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 16, 2016 pm 03:56 PM

ddosjavascript

Distributed Denial of Service (DDoS)-Angriff ist einer der ältesten und häufigsten Angriffe gegen Websites. Nick Sullivan ist Systemingenieur bei CloudFlare, einem Anbieter von Website-Beschleunigungs- und Sicherheitsdiensten. Kürzlich schrieb er einen Artikel , in dem er darlegte, wie Angreifer bösartige Websites, Server-Hijacking und Man-in-the-Middle-Angriffe nutzen, um DDoS-Angriffe zu starten, und erklärte, wie man HTTPS und die kommende Technologie namens „Subresource Integrity“ nutzt ( Die neue Webtechnologie von Subresource Integrity (SRI) schützt Websites vor Angriffen.

Die meisten Interaktionen auf modernen Websites erfolgen über JavaScript. Websites implementieren interaktive Funktionen, indem sie JavaScript-Code direkt zu HTML hinzufügen oder JavaScript von einem Remotestandort über das HTML-Element

  function imgflood() { 
   var TARGET = 'victim-website.com'
   var URI = '/index.php&#63;'
   var pic = new Image()
   var rand = Math.floor(Math.random() * 1000)
   pic.src = 'http://'+TARGET+URI+rand+'=val'
  }
  setInterval(imgflood, 10)

Das obige Skript erstellt jede Sekunde 10 Bild-Tags auf der Seite. Das Tag verweist mit einem zufälligen Abfrageparameter auf „victim-website.com“. Wenn der Benutzer eine bösartige Website besucht, die diesen Code enthält, nimmt er unwissentlich an einem DDoS-Angriff auf „victim-website.com“ teil, wie in der folgenden Abbildung dargestellt:

20156493325376.png (900×420)

Viele Websites verwenden einen gemeinsamen Satz von JavaScript-Bibliotheken. Um Bandbreite zu sparen und die Leistung zu verbessern, verwenden sie von Dritten gehostete JavaScript-Bibliotheken. jQuery ist die beliebteste JavaScript-Bibliothek im Web, wurde 2014 von etwa 30 % der Websites verwendet . Weitere beliebte Bibliotheken sind Facebook SDK und Google Analytics. Wenn eine Website ein Skript-Tag enthält, das auf eine von einem Dritten gehostete JavaScript-Datei verweist, laden alle Besucher der Website die Datei herunter und führen sie aus. Wenn ein Angreifer einen solchen Server kompromittiert, der eine JavaScript-Datei hostet, und der Datei DDoS-Code hinzufügt, werden alle Besucher Teil des DDoS-Angriffs, wie in der Abbildung unten dargestellt:

20156493409662.png (900×586)

Dieser Angriff funktioniert, weil in HTTP ein Mechanismus fehlt, der es Websites ermöglichen würde, die Ausführung manipulierter Skripte zu deaktivieren. Um dieses Problem zu lösen, hat W3C vorgeschlagen, eine neue Funktion hinzuzufügen: Subressourcenkonsistenz. Mit dieser Funktion kann eine Website den Browser nur dann anweisen, ein Skript auszuführen, wenn das heruntergeladene Skript mit dem Skript übereinstimmt, das die Website ausführen möchte. Dies wird durch Passwort-Hashing erreicht, der Code lautet wie folgt:

  <script src="https://code.jquery.com/jquery-1.10.2.min.js" 
  integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" 
  crossorigin="anonymous">

Ein Passwort-Hash identifiziert einen Datenblock eindeutig und keine zwei Dateien haben den gleichen Passwort-Hash. Das Integritätsattribut stellt den Passwort-Hash der Skriptdatei bereit, die die Website ausführen möchte. Nachdem der Browser das Skript heruntergeladen hat, berechnet er seinen Hash und vergleicht dann den resultierenden Wert mit dem von Integrity bereitgestellten Wert. Wenn es nicht übereinstimmt, wurde das Zielskript manipuliert und der Browser verwendet es nicht. Allerdings unterstützen viele Browser diese Funktion derzeit nicht und Chrome und Firefox unterstützen diese Funktion derzeit.

Man-in-the-Middle-Angriff ist die neueste Möglichkeit für Angreifer, schädlichen JavaScript-Code in Websites einzuschleusen. Beim Zugriff auf eine Website über einen Browser durchläuft diese viele Knoten. Wenn ein Zwischenknoten der Webseite schädlichen Code hinzufügt, führt dies zu einem Man-in-the-Middle-Angriff, wie in der folgenden Abbildung dargestellt:

20156493514762.png (900×771)

Verschlüsselungstechnologie kann diese Codeinjektion vollständig blockieren. Mit HTTPS wird die gesamte Kommunikation zwischen dem Browser und dem Webserver verschlüsselt und authentifiziert, wodurch verhindert wird, dass Dritte die Webseite während der Übertragung verändern. Daher können Man-in-the-Middle-Angriffe wirksam verhindert werden, indem die Website auf „Nur HTTPS“ eingestellt wird, das Zertifikat aufbewahrt und überprüft wird.

Als er auf Netizen-Kommentare antwortete, wies Nick darauf hin, dass SRI und HTTPS einander ergänzen und die gleichzeitige Verwendung beider einen besseren Schutz für die Website bieten kann. Zusätzlich zu den oben genannten Methoden ist auch die Verwendung einiger Anti-DDoS-Sicherheitsprodukte zur Verstärkung des Schutzes eine Option.

Stellungnahme

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Verwandter Artikel

Ist JavaScript in C geschrieben? Prüfung der BeweiseApr 25, 2025 am 12:15 AM

Ja, der Motorkern von JavaScript ist in C. 1) Die C -Sprache bietet eine effiziente Leistung und die zugrunde liegende Steuerung, die für die Entwicklung der JavaScript -Engine geeignet ist. 2) Die V8-Engine als Beispiel wird sein Kern in C geschrieben, wobei die Effizienz und objektorientierte Eigenschaften von C kombiniert werden.

JavaScripts Rolle: das Web interaktiv und dynamisch machenApr 24, 2025 am 12:12 AM

JavaScript ist das Herzstück moderner Websites, da es die Interaktivität und Dynamik von Webseiten verbessert. 1) Es ermöglicht die Änderung von Inhalten, ohne die Seite zu aktualisieren, 2) Webseiten durch DOMAPI zu manipulieren, 3) Komplexe interaktive Effekte wie Animation und Drag & Drop, 4) die Leistung und Best Practices optimieren, um die Benutzererfahrung zu verbessern.

C und JavaScript: Die Verbindung erklärteApr 23, 2025 am 12:07 AM

C und JavaScript erreichen die Interoperabilität durch WebAssembly. 1) C -Code wird in das WebAssembly -Modul zusammengestellt und in die JavaScript -Umgebung eingeführt, um die Rechenleistung zu verbessern. 2) In der Spieleentwicklung kümmert sich C über Physik -Engines und Grafikwiedergabe, und JavaScript ist für die Spiellogik und die Benutzeroberfläche verantwortlich.

Von Websites zu Apps: Die verschiedenen Anwendungen von JavaScriptApr 22, 2025 am 12:02 AM

JavaScript wird in Websites, mobilen Anwendungen, Desktop-Anwendungen und serverseitigen Programmierungen häufig verwendet. 1) In der Website -Entwicklung betreibt JavaScript DOM zusammen mit HTML und CSS, um dynamische Effekte zu erzielen und Frameworks wie JQuery und React zu unterstützen. 2) Durch reaktnatives und ionisches JavaScript wird ein plattformübergreifendes mobile Anwendungen entwickelt. 3) Mit dem Elektronenframework können JavaScript Desktop -Anwendungen erstellen. 4) Node.js ermöglicht es JavaScript, auf der Serverseite auszuführen und unterstützt hohe gleichzeitige Anforderungen.

Python gegen JavaScript: Anwendungsfälle und Anwendungen verglichenApr 21, 2025 am 12:01 AM

Python eignet sich besser für Datenwissenschaft und Automatisierung, während JavaScript besser für die Entwicklung von Front-End- und Vollstapel geeignet ist. 1. Python funktioniert in Datenwissenschaft und maschinellem Lernen gut und unter Verwendung von Bibliotheken wie Numpy und Pandas für die Datenverarbeitung und -modellierung. 2. Python ist prägnant und effizient in der Automatisierung und Skripten. 3. JavaScript ist in der Front-End-Entwicklung unverzichtbar und wird verwendet, um dynamische Webseiten und einseitige Anwendungen zu erstellen. 4. JavaScript spielt eine Rolle bei der Back-End-Entwicklung durch Node.js und unterstützt die Entwicklung der Vollstapel.

Die Rolle von C/C bei JavaScript -Dolmetschern und CompilernApr 20, 2025 am 12:01 AM

C und C spielen eine wichtige Rolle in der JavaScript -Engine, die hauptsächlich zur Implementierung von Dolmetschern und JIT -Compilern verwendet wird. 1) C wird verwendet, um JavaScript -Quellcode zu analysieren und einen abstrakten Syntaxbaum zu generieren. 2) C ist für die Generierung und Ausführung von Bytecode verantwortlich. 3) C implementiert den JIT-Compiler, optimiert und kompiliert Hot-Spot-Code zur Laufzeit und verbessert die Ausführungseffizienz von JavaScript erheblich.

JavaScript in Aktion: Beispiele und Projekte in realer WeltApr 19, 2025 am 12:13 AM

Die Anwendung von JavaScript in der realen Welt umfasst Front-End- und Back-End-Entwicklung. 1) Zeigen Sie Front-End-Anwendungen an, indem Sie eine TODO-Listanwendung erstellen, die DOM-Operationen und Ereignisverarbeitung umfasst. 2) Erstellen Sie RESTFUFFUPI über Node.js und express, um Back-End-Anwendungen zu demonstrieren.

JavaScript und das Web: Kernfunktionalität und AnwendungsfälleApr 18, 2025 am 12:19 AM

Zu den Hauptanwendungen von JavaScript in der Webentwicklung gehören die Interaktion der Clients, die Formüberprüfung und die asynchrone Kommunikation. 1) Dynamisches Inhaltsaktualisierung und Benutzerinteraktion durch DOM -Operationen; 2) Die Kundenüberprüfung erfolgt vor dem Einreichung von Daten, um die Benutzererfahrung zu verbessern. 3) Die Aktualisierung der Kommunikation mit dem Server wird durch AJAX -Technologie erreicht.

See all articles

Heiße KI -Werkzeuge

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

KI-Kleiderentferner

Video Face Swap

Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!

Heißer Artikel

Assassin's Creed Shadows: Seashell Riddle -Lösung

4 Wochen vorByDDD

Was ist neu in Windows 11 KB5054979 und wie Sie Update -Probleme beheben

3 Wochen vorByDDD

Wo kann man die Kransteuerungsschlüsselkarten in Atomfall finden

4 Wochen vorByDDD

<🎜>: Dead Rails - wie man jede Herausforderung abschließt

1 Monate vorByDDD

Atomfall Guide: Gegenstandsstandorte, Questführer und Tipps

1 Monate vorByDDD

Heiße Werkzeuge

SublimeText3 Englische Version

Empfohlen: Win-Version, unterstützt Code-Eingabeaufforderungen!

ZendStudio 13.5.1 Mac

Leistungsstarke integrierte PHP-Entwicklungsumgebung

MinGW – Minimalistisches GNU für Windows

Dieses Projekt wird derzeit auf osdn.net/projects/mingw migriert. Sie können uns dort weiterhin folgen. MinGW: Eine native Windows-Portierung der GNU Compiler Collection (GCC), frei verteilbare Importbibliotheken und Header-Dateien zum Erstellen nativer Windows-Anwendungen, einschließlich Erweiterungen der MSVC-Laufzeit zur Unterstützung der C99-Funktionalität. Die gesamte MinGW-Software kann auf 64-Bit-Windows-Plattformen ausgeführt werden.