Perbincangan ringkas tentang prinsip dan pertahanan serangan DDoS menggunakan kemahiran JavaScript

Rumah

hujung hadapan web

tutorial js

Perbincangan ringkas tentang prinsip dan pertahanan serangan DDoS menggunakan kemahiran JavaScript_javascript

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 16, 2016 pm 03:56 PM

ddosjavascript

Serangan Penafian Perkhidmatan (DDoS) Teragih ialah salah satu serangan tertua dan paling biasa terhadap tapak web. Nick Sullivan ialah jurutera sistem di CloudFlare, penyedia perkhidmatan pecutan dan keselamatan tapak web. Baru-baru ini, beliau menulis artikel memperkenalkan cara penyerang menggunakan tapak web berniat jahat, rampasan pelayan dan serangan orang di tengah-tengah untuk melancarkan serangan DDoS, dan menerangkan cara menggunakan HTTPS dan teknologi yang akan datang yang dipanggil "Integriti Subsumber ( Subresource Integrity) teknologi web baharu SRI) melindungi tapak web daripada serangan.

Kebanyakan interaksi di tapak web moden datang daripada JavaScript. Tapak web melaksanakan fungsi interaktif dengan menambahkan kod JavaScript terus ke HTML atau memuatkan JavaScript dari lokasi terpencil melalui elemen HTML . JavaScript boleh mengeluarkan permintaan HTTP(S) untuk memuatkan kandungan halaman web secara tidak segerak, tetapi ia juga boleh menjadikan penyemak imbas sebagai senjata untuk penyerang. Contohnya, kod berikut boleh membanjiri tapak web yang terjejas dengan permintaan:

  function imgflood() { 
   var TARGET = 'victim-website.com'
   var URI = '/index.php&#63;'
   var pic = new Image()
   var rand = Math.floor(Math.random() * 1000)
   pic.src = 'http://'+TARGET+URI+rand+'=val'
  }
  setInterval(imgflood, 10)

Skrip di atas akan mencipta 10 teg imej pada halaman setiap saat. Teg menghala ke "victim-website.com" dengan parameter pertanyaan rawak. Jika pengguna melawati tapak web berniat jahat yang mengandungi kod ini, maka dia secara tidak sedar akan mengambil bahagian dalam serangan DDoS pada "victim-website.com", seperti yang ditunjukkan dalam rajah di bawah:

20156493325376.png (900×420)

Banyak tapak web menggunakan set perpustakaan JavaScript biasa. Untuk menjimatkan lebar jalur dan meningkatkan prestasi, mereka menggunakan perpustakaan JavaScript yang dihoskan oleh pihak ketiga. jQuery ialah perpustakaan JavaScript paling popular di web, digunakan oleh kira-kira 30% tapak web setakat 2014 . Perpustakaan popular lain termasuk SDK Facebook dan Analitis Google. Jika tapak web mengandungi teg skrip yang menghala ke fail JavaScript yang dihoskan oleh pihak ketiga, semua pelawat ke tapak web akan memuat turun fail dan melaksanakannya. Jika penyerang menjejaskan pelayan sedemikian yang mengehoskan fail JavaScript dan menambahkan kod DDoS pada fail, maka semua pelawat akan menjadi sebahagian daripada serangan DDoS Ini adalah rampasan pelayan, seperti yang ditunjukkan dalam rajah di bawah:

20156493409662.png (900×586)

Serangan ini berfungsi kerana terdapat mekanisme yang hilang dalam HTTP yang membolehkan tapak web melumpuhkan skrip yang diusik daripada berjalan. Untuk menyelesaikan masalah ini, W3C telah mencadangkan penambahan ciri baharu, ketekalan subsumber. Ciri ini membolehkan tapak web memberitahu pelayar untuk menjalankan skrip hanya jika skrip yang dimuat turunnya sepadan dengan skrip yang ingin dijalankan oleh tapak web. Ini dicapai melalui pencincangan kata laluan, kodnya adalah seperti berikut:

  <script src="https://code.jquery.com/jquery-1.10.2.min.js" 
  integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" 
  crossorigin="anonymous">

Cincang kata laluan secara unik mengenal pasti blok data dan tiada dua fail akan mempunyai cincang kata laluan yang sama. Atribut integriti menyediakan cincang kata laluan bagi fail skrip yang ingin dijalankan oleh tapak web. Selepas penyemak imbas memuat turun skrip, ia mengira cincangnya dan kemudian membandingkan nilai yang terhasil dengan nilai yang disediakan oleh integriti. Jika ia tidak sepadan, skrip sasaran telah diusik dan penyemak imbas tidak akan menggunakannya. Walau bagaimanapun, banyak penyemak imbas tidak menyokong ciri ini pada masa ini, dan Chrome dan Firefox menambah sokongan untuk ciri ini.

Serangan Man-in-the-middle ialah cara terbaharu untuk penyerang memasukkan kod JavaScript hasad ke dalam tapak web. Apabila mengakses tapak web melalui penyemak imbas, ia melalui banyak nod. Jika mana-mana nod perantaraan menambahkan kod hasad pada halaman web, ia akan membentuk serangan man-in-the-middle, seperti ditunjukkan dalam rajah di bawah:

20156493514762.png (900×771)

Teknologi penyulitan boleh menyekat suntikan kod ini sepenuhnya. Dengan HTTPS, semua komunikasi antara penyemak imbas dan pelayan web disulitkan dan disahkan, menghalang pihak ketiga daripada mengubah suai halaman web semasa penghantaran. Oleh itu, menetapkan tapak web kepada HTTPS sahaja, menyimpan sijil dan mengesahkan sijil boleh menghalang serangan orang tengah dengan berkesan.

Apabila membalas komen netizen, Nick menegaskan bahawa SRI dan HTTPS saling melengkapi, dan menggunakan kedua-duanya pada masa yang sama boleh memberikan perlindungan yang lebih baik untuk tapak web. Sebagai tambahan kepada kaedah di atas, menggunakan beberapa produk keselamatan anti-DDoS untuk mengukuhkan perlindungan juga merupakan pilihan.

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

Beyond the Browser: JavaScript di dunia nyataApr 12, 2025 am 12:06 AM

Aplikasi JavaScript di dunia nyata termasuk pengaturcaraan sisi pelayan, pembangunan aplikasi mudah alih dan Internet of Things Control: 1. Pengaturcaraan sisi pelayan direalisasikan melalui node.js, sesuai untuk pemprosesan permintaan serentak yang tinggi. 2. Pembangunan aplikasi mudah alih dijalankan melalui reaktnatif dan menyokong penggunaan silang platform. 3. Digunakan untuk kawalan peranti IoT melalui Perpustakaan Johnny-Five, sesuai untuk interaksi perkakasan.

Membina aplikasi SaaS Multi-penyewa dengan Next.js (Integrasi Backend)Apr 11, 2025 am 08:23 AM

Saya membina aplikasi SaaS multi-penyewa berfungsi (aplikasi edTech) dengan alat teknologi harian anda dan anda boleh melakukan perkara yang sama. Pertama, apakah aplikasi SaaS multi-penyewa? Aplikasi SaaS Multi-penyewa membolehkan anda melayani beberapa pelanggan dari Sing

Cara Membina Aplikasi SaaS Multi-Tenant dengan Next.js (Integrasi Frontend)Apr 11, 2025 am 08:22 AM

Artikel ini menunjukkan integrasi frontend dengan backend yang dijamin oleh permit, membina aplikasi edtech SaaS yang berfungsi menggunakan Next.Js. Frontend mengambil kebenaran pengguna untuk mengawal penglihatan UI dan memastikan permintaan API mematuhi dasar peranan

JavaScript: meneroka serba boleh bahasa webApr 11, 2025 am 12:01 AM

JavaScript adalah bahasa utama pembangunan web moden dan digunakan secara meluas untuk kepelbagaian dan fleksibiliti. 1) Pembangunan front-end: Membina laman web dinamik dan aplikasi satu halaman melalui operasi DOM dan kerangka moden (seperti React, Vue.js, sudut). 2) Pembangunan sisi pelayan: Node.js menggunakan model I/O yang tidak menyekat untuk mengendalikan aplikasi konkurensi tinggi dan masa nyata. 3) Pembangunan aplikasi mudah alih dan desktop: Pembangunan silang platform direalisasikan melalui reaktnatif dan elektron untuk meningkatkan kecekapan pembangunan.

Evolusi JavaScript: Trend Semasa dan Prospek Masa DepanApr 10, 2025 am 09:33 AM

Trend terkini dalam JavaScript termasuk kebangkitan TypeScript, populariti kerangka dan perpustakaan moden, dan penerapan webassembly. Prospek masa depan meliputi sistem jenis yang lebih berkuasa, pembangunan JavaScript, pengembangan kecerdasan buatan dan pembelajaran mesin, dan potensi pengkomputeran IoT dan kelebihan.

Demystifying JavaScript: Apa yang berlaku dan mengapa pentingApr 09, 2025 am 12:07 AM

JavaScript adalah asas kepada pembangunan web moden, dan fungsi utamanya termasuk pengaturcaraan yang didorong oleh peristiwa, penjanaan kandungan dinamik dan pengaturcaraan tak segerak. 1) Pengaturcaraan yang didorong oleh peristiwa membolehkan laman web berubah secara dinamik mengikut operasi pengguna. 2) Penjanaan kandungan dinamik membolehkan kandungan halaman diselaraskan mengikut syarat. 3) Pengaturcaraan Asynchronous memastikan bahawa antara muka pengguna tidak disekat. JavaScript digunakan secara meluas dalam interaksi web, aplikasi satu halaman dan pembangunan sisi pelayan, sangat meningkatkan fleksibiliti pengalaman pengguna dan pembangunan silang platform.

Adakah Python atau JavaScript lebih baik?Apr 06, 2025 am 12:14 AM

Python lebih sesuai untuk sains data dan pembelajaran mesin, manakala JavaScript lebih sesuai untuk pembangunan front-end dan penuh. 1. Python terkenal dengan sintaks ringkas dan ekosistem perpustakaan yang kaya, dan sesuai untuk analisis data dan pembangunan web. 2. JavaScript adalah teras pembangunan front-end. Node.js menyokong pengaturcaraan sisi pelayan dan sesuai untuk pembangunan stack penuh.

Bagaimana saya memasang javascript?Apr 05, 2025 am 12:16 AM

JavaScript tidak memerlukan pemasangan kerana ia sudah dibina dalam pelayar moden. Anda hanya memerlukan editor teks dan penyemak imbas untuk memulakan. 1) Dalam persekitaran penyemak imbas, jalankan dengan memasukkan fail HTML melalui tag. 2) Dalam persekitaran Node.js, selepas memuat turun dan memasang node.js, jalankan fail JavaScript melalui baris arahan.

See all articles

Alat AI Hot

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Penyingkiran pakaian AI

AI Hentai Generator

Menjana ai hentai secara percuma.

Tunjukkan Lagi

Artikel Panas

R.E.P.O. Kristal tenaga dijelaskan dan apa yang mereka lakukan (kristal kuning)

3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌

R.E.P.O. Tetapan grafik terbaik

3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Penyelesaian Riddle Seashell

2 minggu yang laluByDDD

R.E.P.O. Cara Memperbaiki Audio Jika anda tidak dapat mendengar sesiapa

3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌

WWE 2K25: Cara Membuka Segala -galanya Di Myrise

3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌

Tunjukkan Lagi

Alat panas

MinGW - GNU Minimalis untuk Windows

Projek ini dalam proses untuk dipindahkan ke osdn.net/projects/mingw, anda boleh terus mengikuti kami di sana. MinGW: Port Windows asli bagi GNU Compiler Collection (GCC), perpustakaan import yang boleh diedarkan secara bebas dan fail pengepala untuk membina aplikasi Windows asli termasuk sambungan kepada masa jalan MSVC untuk menyokong fungsi C99. Semua perisian MinGW boleh dijalankan pada platform Windows 64-bit.

PhpStorm versi Mac

Alat pembangunan bersepadu PHP profesional terkini (2018.2.1).

SublimeText3 Linux versi baharu

SublimeText3 Linux versi terkini

SecLists

SecLists ialah rakan penguji keselamatan muktamad. Ia ialah koleksi pelbagai jenis senarai yang kerap digunakan semasa penilaian keselamatan, semuanya di satu tempat. SecLists membantu menjadikan ujian keselamatan lebih cekap dan produktif dengan menyediakan semua senarai yang mungkin diperlukan oleh penguji keselamatan dengan mudah. Jenis senarai termasuk nama pengguna, kata laluan, URL, muatan kabur, corak data sensitif, cangkerang web dan banyak lagi. Penguji hanya boleh menarik repositori ini ke mesin ujian baharu dan dia akan mempunyai akses kepada setiap jenis senarai yang dia perlukan.

Muat turun versi mac editor Atom

Editor sumber terbuka yang paling popular

Tunjukkan Lagi

Topik panas

Di manakah pintu masuk log masuk untuk e-mel gmail?

7466

Tutorial CakePHP

1376

Apakah format nama akaun stim

kunci pengaktifan win11 kekal

Sambungan NYT menunjukkan dan jawapan

Tunjukkan Lagi