Perbincangan ringkas tentang prinsip dan pertahanan serangan DDoS menggunakan kemahiran JavaScript

Rumah

hujung hadapan web

tutorial js

Perbincangan ringkas tentang prinsip dan pertahanan serangan DDoS menggunakan kemahiran JavaScript_javascript

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 16, 2016 pm 03:56 PM

ddosjavascript

Serangan Penafian Perkhidmatan (DDoS) Teragih ialah salah satu serangan tertua dan paling biasa terhadap tapak web. Nick Sullivan ialah jurutera sistem di CloudFlare, penyedia perkhidmatan pecutan dan keselamatan tapak web. Baru-baru ini, beliau menulis artikel memperkenalkan cara penyerang menggunakan tapak web berniat jahat, rampasan pelayan dan serangan orang di tengah-tengah untuk melancarkan serangan DDoS, dan menerangkan cara menggunakan HTTPS dan teknologi yang akan datang yang dipanggil "Integriti Subsumber ( Subresource Integrity) teknologi web baharu SRI) melindungi tapak web daripada serangan.

Kebanyakan interaksi di tapak web moden datang daripada JavaScript. Tapak web melaksanakan fungsi interaktif dengan menambahkan kod JavaScript terus ke HTML atau memuatkan JavaScript dari lokasi terpencil melalui elemen HTML . JavaScript boleh mengeluarkan permintaan HTTP(S) untuk memuatkan kandungan halaman web secara tidak segerak, tetapi ia juga boleh menjadikan penyemak imbas sebagai senjata untuk penyerang. Contohnya, kod berikut boleh membanjiri tapak web yang terjejas dengan permintaan:

  function imgflood() { 
   var TARGET = 'victim-website.com'
   var URI = '/index.php&#63;'
   var pic = new Image()
   var rand = Math.floor(Math.random() * 1000)
   pic.src = 'http://'+TARGET+URI+rand+'=val'
  }
  setInterval(imgflood, 10)

Skrip di atas akan mencipta 10 teg imej pada halaman setiap saat. Teg menghala ke "victim-website.com" dengan parameter pertanyaan rawak. Jika pengguna melawati tapak web berniat jahat yang mengandungi kod ini, maka dia secara tidak sedar akan mengambil bahagian dalam serangan DDoS pada "victim-website.com", seperti yang ditunjukkan dalam rajah di bawah:

20156493325376.png (900×420)

Banyak tapak web menggunakan set perpustakaan JavaScript biasa. Untuk menjimatkan lebar jalur dan meningkatkan prestasi, mereka menggunakan perpustakaan JavaScript yang dihoskan oleh pihak ketiga. jQuery ialah perpustakaan JavaScript paling popular di web, digunakan oleh kira-kira 30% tapak web setakat 2014 . Perpustakaan popular lain termasuk SDK Facebook dan Analitis Google. Jika tapak web mengandungi teg skrip yang menghala ke fail JavaScript yang dihoskan oleh pihak ketiga, semua pelawat ke tapak web akan memuat turun fail dan melaksanakannya. Jika penyerang menjejaskan pelayan sedemikian yang mengehoskan fail JavaScript dan menambahkan kod DDoS pada fail, maka semua pelawat akan menjadi sebahagian daripada serangan DDoS Ini adalah rampasan pelayan, seperti yang ditunjukkan dalam rajah di bawah:

20156493409662.png (900×586)

Serangan ini berfungsi kerana terdapat mekanisme yang hilang dalam HTTP yang membolehkan tapak web melumpuhkan skrip yang diusik daripada berjalan. Untuk menyelesaikan masalah ini, W3C telah mencadangkan penambahan ciri baharu, ketekalan subsumber. Ciri ini membolehkan tapak web memberitahu pelayar untuk menjalankan skrip hanya jika skrip yang dimuat turunnya sepadan dengan skrip yang ingin dijalankan oleh tapak web. Ini dicapai melalui pencincangan kata laluan, kodnya adalah seperti berikut:

  <script src="https://code.jquery.com/jquery-1.10.2.min.js" 
  integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" 
  crossorigin="anonymous">

Cincang kata laluan secara unik mengenal pasti blok data dan tiada dua fail akan mempunyai cincang kata laluan yang sama. Atribut integriti menyediakan cincang kata laluan bagi fail skrip yang ingin dijalankan oleh tapak web. Selepas penyemak imbas memuat turun skrip, ia mengira cincangnya dan kemudian membandingkan nilai yang terhasil dengan nilai yang disediakan oleh integriti. Jika ia tidak sepadan, skrip sasaran telah diusik dan penyemak imbas tidak akan menggunakannya. Walau bagaimanapun, banyak penyemak imbas tidak menyokong ciri ini pada masa ini, dan Chrome dan Firefox menambah sokongan untuk ciri ini.

Serangan Man-in-the-middle ialah cara terbaharu untuk penyerang memasukkan kod JavaScript hasad ke dalam tapak web. Apabila mengakses tapak web melalui penyemak imbas, ia melalui banyak nod. Jika mana-mana nod perantaraan menambahkan kod hasad pada halaman web, ia akan membentuk serangan man-in-the-middle, seperti ditunjukkan dalam rajah di bawah:

20156493514762.png (900×771)

Teknologi penyulitan boleh menyekat suntikan kod ini sepenuhnya. Dengan HTTPS, semua komunikasi antara penyemak imbas dan pelayan web disulitkan dan disahkan, menghalang pihak ketiga daripada mengubah suai halaman web semasa penghantaran. Oleh itu, menetapkan tapak web kepada HTTPS sahaja, menyimpan sijil dan mengesahkan sijil boleh menghalang serangan orang tengah dengan berkesan.

Apabila membalas komen netizen, Nick menegaskan bahawa SRI dan HTTPS saling melengkapi, dan menggunakan kedua-duanya pada masa yang sama boleh memberikan perlindungan yang lebih baik untuk tapak web. Sebagai tambahan kepada kaedah di atas, menggunakan beberapa produk keselamatan anti-DDoS untuk mengukuhkan perlindungan juga merupakan pilihan.

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

Memahami Enjin JavaScript: Butiran PelaksanaanApr 17, 2025 am 12:05 AM

Memahami bagaimana enjin JavaScript berfungsi secara dalaman adalah penting kepada pemaju kerana ia membantu menulis kod yang lebih cekap dan memahami kesesakan prestasi dan strategi pengoptimuman. 1) aliran kerja enjin termasuk tiga peringkat: parsing, penyusun dan pelaksanaan; 2) Semasa proses pelaksanaan, enjin akan melakukan pengoptimuman dinamik, seperti cache dalam talian dan kelas tersembunyi; 3) Amalan terbaik termasuk mengelakkan pembolehubah global, mengoptimumkan gelung, menggunakan const dan membiarkan, dan mengelakkan penggunaan penutupan yang berlebihan.

Python vs JavaScript: Keluk Pembelajaran dan Kemudahan PenggunaanApr 16, 2025 am 12:12 AM

Python lebih sesuai untuk pemula, dengan lengkung pembelajaran yang lancar dan sintaks ringkas; JavaScript sesuai untuk pembangunan front-end, dengan lengkung pembelajaran yang curam dan sintaks yang fleksibel. 1. Sintaks Python adalah intuitif dan sesuai untuk sains data dan pembangunan back-end. 2. JavaScript adalah fleksibel dan digunakan secara meluas dalam pengaturcaraan depan dan pelayan.

Python vs JavaScript: Komuniti, Perpustakaan, dan SumberApr 15, 2025 am 12:16 AM

Python dan JavaScript mempunyai kelebihan dan kekurangan mereka sendiri dari segi komuniti, perpustakaan dan sumber. 1) Komuniti Python mesra dan sesuai untuk pemula, tetapi sumber pembangunan depan tidak kaya dengan JavaScript. 2) Python berkuasa dalam bidang sains data dan perpustakaan pembelajaran mesin, sementara JavaScript lebih baik dalam perpustakaan pembangunan dan kerangka pembangunan depan. 3) Kedua -duanya mempunyai sumber pembelajaran yang kaya, tetapi Python sesuai untuk memulakan dengan dokumen rasmi, sementara JavaScript lebih baik dengan MDNWebDocs. Pilihan harus berdasarkan keperluan projek dan kepentingan peribadi.

Dari C/C ke JavaScript: Bagaimana semuanya berfungsiApr 14, 2025 am 12:05 AM

Peralihan dari C/C ke JavaScript memerlukan menyesuaikan diri dengan menaip dinamik, pengumpulan sampah dan pengaturcaraan asynchronous. 1) C/C adalah bahasa yang ditaip secara statik yang memerlukan pengurusan memori manual, manakala JavaScript ditaip secara dinamik dan pengumpulan sampah diproses secara automatik. 2) C/C perlu dikumpulkan ke dalam kod mesin, manakala JavaScript adalah bahasa yang ditafsirkan. 3) JavaScript memperkenalkan konsep seperti penutupan, rantaian prototaip dan janji, yang meningkatkan keupayaan pengaturcaraan fleksibiliti dan asynchronous.

Enjin JavaScript: Membandingkan PelaksanaanApr 13, 2025 am 12:05 AM

Enjin JavaScript yang berbeza mempunyai kesan yang berbeza apabila menguraikan dan melaksanakan kod JavaScript, kerana prinsip pelaksanaan dan strategi pengoptimuman setiap enjin berbeza. 1. Analisis leksikal: Menukar kod sumber ke dalam unit leksikal. 2. Analisis Tatabahasa: Menjana pokok sintaks abstrak. 3. Pengoptimuman dan Penyusunan: Menjana kod mesin melalui pengkompil JIT. 4. Jalankan: Jalankan kod mesin. Enjin V8 mengoptimumkan melalui kompilasi segera dan kelas tersembunyi, Spidermonkey menggunakan sistem kesimpulan jenis, menghasilkan prestasi prestasi yang berbeza pada kod yang sama.

Beyond the Browser: JavaScript di dunia nyataApr 12, 2025 am 12:06 AM

Aplikasi JavaScript di dunia nyata termasuk pengaturcaraan sisi pelayan, pembangunan aplikasi mudah alih dan Internet of Things Control: 1. Pengaturcaraan sisi pelayan direalisasikan melalui node.js, sesuai untuk pemprosesan permintaan serentak yang tinggi. 2. Pembangunan aplikasi mudah alih dijalankan melalui reaktnatif dan menyokong penggunaan silang platform. 3. Digunakan untuk kawalan peranti IoT melalui Perpustakaan Johnny-Five, sesuai untuk interaksi perkakasan.

Membina aplikasi SaaS Multi-penyewa dengan Next.js (Integrasi Backend)Apr 11, 2025 am 08:23 AM

Saya membina aplikasi SaaS multi-penyewa berfungsi (aplikasi edTech) dengan alat teknologi harian anda dan anda boleh melakukan perkara yang sama. Pertama, apakah aplikasi SaaS multi-penyewa? Aplikasi SaaS Multi-penyewa membolehkan anda melayani beberapa pelanggan dari Sing

Cara Membina Aplikasi SaaS Multi-Tenant dengan Next.js (Integrasi Frontend)Apr 11, 2025 am 08:22 AM

Artikel ini menunjukkan integrasi frontend dengan backend yang dijamin oleh permit, membina aplikasi edtech SaaS yang berfungsi menggunakan Next.Js. Frontend mengambil kebenaran pengguna untuk mengawal penglihatan UI dan memastikan permintaan API mematuhi dasar peranan

See all articles