首页 > 资讯 > 关键词  > DDos攻击最新资讯  > 正文

浅谈 JavaScript DDoS 攻击原理与防御

2015-05-21 15:35 · 稿源: linux.cn

分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击。Nick Sullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师。近日,他撰文介绍了攻击者如何利用恶意网站、服务器劫持和中间人攻击 发起DDoS攻击,并说明了如何使用HTTPS以及即将到来的名为“子资源一致性(Subresource Integrity,简称SRI)”的Web新技术保护网站免受攻击。

现代网站的大部分交互都来自于JavaScript。网站通过直接向HTML中添加JavaScript代码或者通过HTML元 素<script src=”">从远程位置加载JavaScript实现交互功能。JavaScript可以发出HTTP(S)请求,实现网页内容异步加载,但它也 能将浏览器变成攻击者的武器。例如,下面的代码可以向受攻击网站发出洪水般的请求:

function imgflood() {  
  var TARGET = 'victim-website.com'
  var URI = '/index.php?'
  var pic = new Image()
  var rand = Math.floor(Math.random() * 1000)
  pic.src = 'https://'+TARGET+URI+rand+'=val'
}
setInterval(imgflood, 10)

上述脚本每秒钟会在页面上创建10个image标签。该标签指向“victim-website.com”,并带有一个随机查询参数。如果用户访问 了包含这段代码的恶意网站,那么他就会在不知情的情况下参与了对“victim-website.com”的DDoS攻击,如下图所示:

许多网站都使用一套通用的JavaScript库。为了节省带宽及提高性能,它们会使用由第三方托管的JavaScript库。jQuery是 Web上峰行的JavaScript库,截至2014年大约30%的网站都使用了它。其它流行的库还有Facebook SDK、Google Analytics。如果一个网站包含了指向第三方托管JavaScript文件的script标签,那么该网站的所有访问者都会下载该文件并执行它。如 果攻击者攻陷了这样一个托管JavaScript文件的服务器,并向文件中添加了DDoS代码,那么所有访问者都会成为DDoS攻击的一部分,这就是服务 器劫持,如下图所示:

这种攻击之所以有效是因为HTTP中缺少一种机制使网站能够禁止被篡改的脚本运行。为了解决这一问题,W3C已经提议增加一个新特性子资源一致性。该特性允许网站告诉浏览器,只有在其下载的脚本与网站希望运行的脚本一致时才能运行脚本。这是通过密码散列实现的,代码如下:

<script src="https://code.jquery.com/jquery-1.10.2.min.js" 
integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" 
crossorigin="anonymous">

密码散列可以仅有标识一个数据块,任何两个文件的密码散列均不相同。属性integrity提供了网站希望运行的脚本文件的密码散列。浏览器在下载 脚本后会计算它的散列,然后将得出的值与integrity提供的值进行比较。如果不匹配,则说明目标脚本被篡改,浏览器将不使用它。不过,许多浏览器目 前还不支持该特性,Chrome和Firefox正在增加对这一特性的支持。

中间人攻击是攻击者向网站插入恶意JavaScript代码的比较新方式。在通过浏览器访问网站时,中间会经过许多节点。如果任意中间节点向网页添加恶意代码,就形成了中间人攻击,如下图所示:

加密技术可以彻底阻断这种代码注入。借助HTTPS,浏览器和Web服务器之间的所有通信都要经过加密和验证,可以防止第三者在传输过程中修改网页。因此,将网站设为HTTPS-only,并保管好证书以及做好证书验证,可以有效防止中间人攻击。

在回复网友评论时,Nick指出,SRI和HTTPS是相辅相成的,二者同时使用可以为网站提供更好的保护。除了上述方法外,采用一些防DDoS安全产品来加强防护也是一种选择。

举报

  • 相关推荐
  • AI日报:百度发布“绘想”平台与MuseSteamer;阿里音频驱动全身数字人模型OmniAvatar

    【AI日报】今日AI领域重要动态:1.开源语音大模型Step-Audio-AQAA发布,实现音频到语音的端到端自然转换;2.百度推出"绘想"平台与MuseSteamer,通过AI一键生成专业级视频;3.浙大与阿里联合发布OmniAvatar,音频驱动数字人技术取得突破;4.百度搜索迎十年来最大改版,新增智能框、百看和AI助手功能;5.xAI开发者控制台新增Grok4及Grok4Code引用,预示新一代AI模型即将发布;6.Gemin

  • AI日报:阿里开源3D数字人项目MNN TaoAvatar;MiniMax Agent上线;罗永浩数字人直播再探“AI+IP”带货模式

    本文汇总了AI领域最新动态:1)阿里开源MNN+TaoAvatar技术,实现手机端3D数字人实时交互;2)MiniMax升级AI工具Agent,新增智能图像搜索和多语言支持;3)罗永浩数字人将登陆百度电商直播;4)OpenAI员工套现近30亿美元,软银成最大接盘方;5)ChatGPT推出深度研究和语音模式升级;6)Meta发布V-JEPA2模型,提升机器人环境适应能力;7)AMD与OpenAI合作推出新一代AI芯片;8)Google Gemini集成Imagen4图像生成模型;9)谷歌AI实现10公里级精准天气预报;10)Gartner预测到2028年80%的AI应用开发时间将缩短50%。

  • 年度攻防演练专题 | 构建暴露面管理安全防御“综合体”,提升应对攻击的韧性和可持续性

    随着全球信息化程度的加深,云计算平台及其各类应用全面接入互联网,然而,从底层网络架构,到上层业务应用,再到敏感数据存储,每一个环节都像是未上锁的门,成为黑客觊觎的潜在入侵点。面对复杂且变化不断的网络环境与新型攻击手段,为确保企业业务稳定运行并精准识别、缩小潜在攻击面,暴露面管理显得尤为重要。尤其在重保期间,企业需要一种更加主动、更�

  • iPadOS 26台前调度适配更多机型:多任务体验比肩macOS

    最新的iPadOS 26升级了台前调度功能,苹果还把该功能扩展到了更多机型。 在上一版iPadOS 18上,台前调度仅限于以下iPad机型: 13英寸iPad Pro(M4芯片); 12.9英寸iPad Pro(第3代及后续机型); 11英寸iPad Pro(第1代及后续机型); iPad Air(第5代及后续机型)。 在iPadOS 26上,台前调度在以下iPad机型上可用: 13英寸iPad Pro(M4芯片);

  • 苹果iPadOS 26脱胎换骨:一大波功能向macOS看齐

    苹果召开WWDC 2025全球开发者大会,发布了全新的iPadOS 26。 以下是苹果公司今日宣布的所有iPadOS 26新功能,这些更新将使iPad拥有接近macOS的使用体验。 应用窗口现在可自由调整大小。 支持同时打开多个窗口。 通过新的分屏手势,可将窗口调整为半屏、三分之一或四分之一大小。 每个窗口新增红、黄、绿交通灯按钮,对应的分别是关闭、最小化和最大化。 应用重启后会记�

  • Meta拟重金加码AI赛道,传将斥资超百亿美元投资Scale AI

    Meta 正与人工智能数据服务公司 Scale AI 商讨一项巨额投资,金额可能高达或超过 100 亿美元……

  • iPadOS 26适配机型公布 苹果迄今规模最大设计更新

    苹果公司今日正式推出iPadOS26操作系统,并公布了支持升级的设备清单。此次更新覆盖iPad Pro、iPad Air、标准款iPad及iPad mini四大产品线,具体机型包括:搭载M4芯片的iPad Pro、12.9英寸iPad Pro(第3代及后续机型)、11英寸iPad Pro(第1代及后续机型);搭载M2芯片及后续版本的iPad Air、iPad Air(第3代及后续机型);配备A16芯片的iPad(第8代及后续机型);以及搭载A17Pro芯片的iPad mini(第5代及后续机型)�

  • 海尔青岛洗衣机互联工厂获国际BSCI认证

    海尔青岛洗衣机互联工厂近日通过国际BSCI认证审核,在员工权益保障、环境保护等社会责任维度获得A级评价。这是继2021年成为全球家电行业首个"碳中和"工厂后,该工厂在可持续发展领域再获国际认可。BSCI认证由欧洲对外贸易协会发起,是进入国际供应链的重要通行证。此次认证将助力海尔拓展欧盟高端市场,提升国际竞争力。未来工厂将以认证为新起点,深化智能制造能力,为全球用户提供更优质产品体验。

  • DDR4价格逆袭DDR5,国产DRAM如何破局?

    全球DRAM市场出现罕见价格倒挂现象:DDR4芯片因供应紧张价格持续攀升,部分规格涨幅达20%甚至超越DDR5;而DDR5在新一代计算需求推动下虽逐步成为主流,但价格仅上涨5%。这一波动折射出2025年市场结构性分化特征——在DDR5等新一代产品需求爆发、全球市场规模有望突破千亿美元的背景下,传统DDR4产品因产能调整滞后出现阶段性供需失衡。中国存储产业龙头长鑫科技正通过全产业链布局突破技术封锁,其产品已覆盖移动终端、服务器、VR/物联网等领域,并凭借本土化优势服务小米、vivo等主流厂商。公司研发人员占比超80%,累计专利达13449项,构建起完整技术护城河。随着算力革命、智能汽车等新兴场景爆发,存储市场将进入上行周期,长鑫科技有望持续受益。

  • 动态域名解析全攻略:从原理到实用方法详解

    本文介绍了动态域名解析(DDNS)技术及其应用。DDNS通过将动态变化的公网IP地址与固定域名绑定,解决了远程访问动态IP设备的难题。文章详细解析了三种实用方法:1)使用专业DDNS服务商;2)利用路由器内置功能;3)安装专用软件如花生壳。重点推荐了花生壳软件,其支持多系统、智能DNS解析和端口映射等功能,拥有1800万用户。使用DDNS需注意选择可靠服务商、正确配置记录、定期检查更新等事项。动态域名解析技术极大便利了远程访问需求,而花生壳凭借强大功能成为理想选择。