淺談利用JavaScript進行的DDoS攻擊原理與防禦_javascript技巧-js教程-PHP中文網

首頁

web前端

js教程

淺談利用JavaScript進行的DDoS攻擊原理與防禦_javascript技巧

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 16, 2016 pm 03:56 PM

ddosjavascript

分散式拒絕服務攻擊（DDoS）攻擊是一種針對網站發動的最古老最普遍的攻擊。 Nick Sullivan是網站加速與安全服務供應商CloudFlare的系統工程師。近日，他撰文介紹了攻擊者如何利用惡意網站、伺服器劫持和中間人攻擊發起DDoS攻擊，並說明瞭如何使用HTTPS以及即將到來的名為「子資源一致性（Subresource Integrity，簡稱SRI）」的Web新技術保護網站免受攻擊。

現代網站的互動大多來自JavaScript。網站透過直接在HTML中加入JavaScript程式碼或透過HTML元素

  function imgflood() { 
   var TARGET = 'victim-website.com'
   var URI = '/index.php&#63;'
   var pic = new Image()
   var rand = Math.floor(Math.random() * 1000)
   pic.src = 'http://'+TARGET+URI+rand+'=val'
  }
  setInterval(imgflood, 10)

上述腳本每秒鐘會在頁面上建立10個image標籤。該標籤指向“victim-website.com”，並帶有一個隨機查詢參數。如果使用者造訪了包含這段程式碼的惡意網站，那麼他就會在不知情的情況下參與了對「victim-website.com」的DDoS攻擊，如下圖所示：

20156493325376.png (900×420)

許多網站都使用一套通用的JavaScript程式庫。為了節省頻寬及提高效能，它們會使用由第三方託管的JavaScript程式庫。 jQuery是Web上最受歡迎的JavaScript庫，截至2014年大約30%的網站都使用了它。其它流行的庫還有Facebook SDK、Google Analytics。如果網站包含了指向第三方託管JavaScript檔案的script標籤，那麼該網站的所有訪客都會下載該檔案並執行它。如果攻擊者攻陷了這樣一個託管JavaScript檔案的伺服器，並在檔案中加入了DDoS程式碼，那麼所有訪客都會成為DDoS攻擊的一部分，這就是伺服器劫持，如下圖所示：

20156493409662.png (900×586)

這種攻擊之所以有效是因為HTTP中缺少一種機制使網站能夠禁止被篡改的腳本運行。為了解決這個問題，W3C已經提議增加一個新特性子資源一致性。該特性允許網站告訴瀏覽器，只有在其下載的腳本與網站希望運行的腳本一致時才能運行腳本。這是透過密碼雜湊實現的，程式碼如下：

  <script src="https://code.jquery.com/jquery-1.10.2.min.js" 
  integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" 
  crossorigin="anonymous">

密碼雜湊可以唯一識別一個資料塊，任何兩個檔案的密碼雜湊均不相同。屬性integrity提供了網站希望運行的腳本檔案的密碼雜湊。瀏覽器在下載腳本後會計算它的雜湊，然後將得出的值與integrity提供的值進行比較。如果不匹配，則說明目標腳本被竄改，瀏覽器將不使用它。不過，許多瀏覽器目前還不支援該特性，Chrome和Firefox正在增加對此特性的支援。

中間人攻擊是攻擊者向網站插入惡意JavaScript程式碼的最新方式。透過瀏覽器造訪網站時，中間會經過許多節點。如果任一中間節點在網頁上加入惡意程式碼，就形成了中間人攻擊，如下圖所示：

20156493514762.png (900×771)

加密技術可以徹底阻斷這種程式碼注入。借助HTTPS，瀏覽器和Web伺服器之間的所有通訊都要經過加密和驗證，可以防止第三者在傳輸過程中修改網頁。因此，將網站設為HTTPS-only，並保管好證書以及做好證書驗證，可以有效防止中間人攻擊。

回覆網友評論時，Nick指出，SRI和HTTPS是相輔相成的，二者同時使用可以為網站提供更好的保護。除了上述方法外，採用一些防DDoS安全產品來加強防護也是一種選擇。

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

JavaScript在行動中：現實世界中的示例和項目Apr 19, 2025 am 12:13 AM

JavaScript在現實世界中的應用包括前端和後端開發。 1)通過構建TODO列表應用展示前端應用，涉及DOM操作和事件處理。 2)通過Node.js和Express構建RESTfulAPI展示後端應用。

JavaScript和Web：核心功能和用例Apr 18, 2025 am 12:19 AM

JavaScript在Web開發中的主要用途包括客戶端交互、表單驗證和異步通信。 1)通過DOM操作實現動態內容更新和用戶交互；2)在用戶提交數據前進行客戶端驗證，提高用戶體驗；3)通過AJAX技術實現與服務器的無刷新通信。

了解JavaScript引擎：實施詳細信息Apr 17, 2025 am 12:05 AM

理解JavaScript引擎內部工作原理對開發者重要，因為它能幫助編寫更高效的代碼並理解性能瓶頸和優化策略。 1)引擎的工作流程包括解析、編譯和執行三個階段；2)執行過程中，引擎會進行動態優化，如內聯緩存和隱藏類；3)最佳實踐包括避免全局變量、優化循環、使用const和let，以及避免過度使用閉包。

Python vs. JavaScript：學習曲線和易用性Apr 16, 2025 am 12:12 AM

Python更適合初學者，學習曲線平緩，語法簡潔；JavaScript適合前端開發，學習曲線較陡，語法靈活。 1.Python語法直觀，適用於數據科學和後端開發。 2.JavaScript靈活，廣泛用於前端和服務器端編程。

Python vs. JavaScript：社區，圖書館和資源Apr 15, 2025 am 12:16 AM

Python和JavaScript在社區、庫和資源方面的對比各有優劣。 1)Python社區友好，適合初學者，但前端開發資源不如JavaScript豐富。 2)Python在數據科學和機器學習庫方面強大，JavaScript則在前端開發庫和框架上更勝一籌。 3)兩者的學習資源都豐富，但Python適合從官方文檔開始，JavaScript則以MDNWebDocs為佳。選擇應基於項目需求和個人興趣。

從C/C到JavaScript：所有工作方式Apr 14, 2025 am 12:05 AM

從C/C 轉向JavaScript需要適應動態類型、垃圾回收和異步編程等特點。 1）C/C 是靜態類型語言，需手動管理內存，而JavaScript是動態類型，垃圾回收自動處理。 2）C/C 需編譯成機器碼，JavaScript則為解釋型語言。 3）JavaScript引入閉包、原型鍊和Promise等概念，增強了靈活性和異步編程能力。

JavaScript引擎：比較實施Apr 13, 2025 am 12:05 AM

不同JavaScript引擎在解析和執行JavaScript代碼時，效果會有所不同，因為每個引擎的實現原理和優化策略各有差異。 1.詞法分析：將源碼轉換為詞法單元。 2.語法分析：生成抽象語法樹。 3.優化和編譯：通過JIT編譯器生成機器碼。 4.執行：運行機器碼。 V8引擎通過即時編譯和隱藏類優化，SpiderMonkey使用類型推斷系統，導致在相同代碼上的性能表現不同。