首页 > 资讯 > 关键词 > DDos攻击最新资讯 > 正文

浅谈 JavaScript DDoS 攻击原理与防御

2015-05-21 15:35 · 稿源:linux.cn

分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击。Nick Sullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师。近日,他撰文介绍了攻击者如何利用恶意网站、服务器劫持和中间人攻击 发起DDoS攻击,并说明了如何使用HTTPS以及即将到来的名为“子资源一致性(Subresource Integrity,简称SRI)”的Web新技术保护网站免受攻击。

现代网站的大部分交互都来自于JavaScript。网站通过直接向HTML中添加JavaScript代码或者通过HTML元 素<script src=”">从远程位置加载JavaScript实现交互功能。JavaScript可以发出HTTP(S)请求,实现网页内容异步加载,但它也 能将浏览器变成攻击者的武器。例如,下面的代码可以向受攻击网站发出洪水般的请求:

function imgflood() {  
  var TARGET = 'victim-website.com'
  var URI = '/index.php?'
  var pic = new Image()
  var rand = Math.floor(Math.random() * 1000)
  pic.src = 'http://'+TARGET+URI+rand+'=val'
}
setInterval(imgflood, 10)

上述脚本每秒钟会在页面上创建10个image标签。该标签指向“victim-website.com”,并带有一个随机查询参数。如果用户访问 了包含这段代码的恶意网站,那么他就会在不知情的情况下参与了对“victim-website.com”的DDoS攻击,如下图所示:

许多网站都使用一套通用的JavaScript库。为了节省带宽及提高性能,它们会使用由第三方托管的JavaScript库。jQuery是 Web上最流行的JavaScript库,截至2014年大约30%的网站都使用了它。其它流行的库还有Facebook SDK、Google Analytics。如果一个网站包含了指向第三方托管JavaScript文件的script标签,那么该网站的所有访问者都会下载该文件并执行它。如 果攻击者攻陷了这样一个托管JavaScript文件的服务器,并向文件中添加了DDoS代码,那么所有访问者都会成为DDoS攻击的一部分,这就是服务 器劫持,如下图所示:

这种攻击之所以有效是因为HTTP中缺少一种机制使网站能够禁止被篡改的脚本运行。为了解决这一问题,W3C已经提议增加一个新特性子资源一致性。该特性允许网站告诉浏览器,只有在其下载的脚本与网站希望运行的脚本一致时才能运行脚本。这是通过密码散列实现的,代码如下:

<script src="https://code.jquery.com/jquery-1.10.2.min.js" 
integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" 
crossorigin="anonymous">

密码散列可以唯一标识一个数据块,任何两个文件的密码散列均不相同。属性integrity提供了网站希望运行的脚本文件的密码散列。浏览器在下载 脚本后会计算它的散列,然后将得出的值与integrity提供的值进行比较。如果不匹配,则说明目标脚本被篡改,浏览器将不使用它。不过,许多浏览器目 前还不支持该特性,Chrome和Firefox正在增加对这一特性的支持。

中间人攻击是攻击者向网站插入恶意JavaScript代码的最新方式。在通过浏览器访问网站时,中间会经过许多节点。如果任意中间节点向网页添加恶意代码,就形成了中间人攻击,如下图所示:

加密技术可以彻底阻断这种代码注入。借助HTTPS,浏览器和Web服务器之间的所有通信都要经过加密和验证,可以防止第三者在传输过程中修改网页。因此,将网站设为HTTPS-only,并保管好证书以及做好证书验证,可以有效防止中间人攻击。

在回复网友评论时,Nick指出,SRI和HTTPS是相辅相成的,二者同时使用可以为网站提供更好的保护。除了上述方法外,采用一些防DDoS安全产品来加强防护也是一种选择。

网友热搜:

  • 相关推荐
  • 大家在看
  • 亚马逊透露了如何抵制2月有史以来最大的DDoS攻击

    [TechWeb]随着几乎整个商业世界都在线迁移并进入某种形式的云空间,公司,特别是云提供商必须花费大量时间和精力来抵御各种网络攻击,这不足为奇。亚马逊网络服务公司在其最新的《 2020年第一季度季度报告》中宣布,它们可能抵御了有史以来最大的攻击之一。据该公司称,该公司最近不得不抵御2月的DDoS(分布式拒绝服务)攻击,其峰值流量为2.3 Tbps。它能够通过其AWS Shield服务缓解这种攻击,该服务旨在保护Amazon按需云计算平台

  • 亚马逊AWS称其阻止了创纪录的 2.3 Tbps DDoS 攻击

    亚马逊表示,其AWS Shield服务经受住了有记录以来最大的DDoS攻击,今年 2 月份中旬它阻止了一场2.3 Tbps DDoS攻击。

  • iOS 14/iPadOS 14描述文件下载:教你免开发者账号升级

    今晨结束的WWDC2020上,全新iOS 14/iPadOS 14与我们见面。由于变化较多,少数媒体甚至将iOS 14喻为10年来最大变革。目前,iOS 14/iPadOS 14已经面向开发者推送,公测Beta预计7月开启OTA。不过

  • iPadOS14什么时候更新 iPadOS14什么时候推送

    苹果iPadOS14是目前最新的iPadOS,这个系统加入很多个全新的功能,那么iPadOS14什么时候会更新,更新推送时间是几月份呢,以下我们来看下本次发布的iPadOS14详细介绍。

  • iPadOS14支持机型 iPadOS14支持哪些设备

    苹果在2020WWDC开发者大会上发布了iPadOS14系统,这次发布的iPadOS14系统增加了许多新的功能,本次升级的iPadOS14在生产力方面又有了不少提升,还有支持更新的机型,以下我们来看下具体的更新。

  • iPadOS14新功能有哪些 iPadOS14新功能汇总

    iPadOS14系统在6月23日苹果开发者大会上正式公布,这次iPadOS14增加了哪些新的功能,对用户来说是否值得升级呢,这里我们来看下iPadOS14升级的功能介绍。

  • 苹果推送iOS/iPadOS 14测试版!

    桌面小组件、画中画、数码车钥匙、App Clip等新功能,今天凌晨亮相的iOS 14有没有打动你的一项?跟往常一样,iOS 14发布后,苹果面向开发人员发布了iOS 14/iPadOS 14开发者预览版/公开测试版B

  • 报告:JavaScript为最常用整体编程语言 Python超过Java

    在过去的 12 个月中,Python在使用的编程语言列表中已经超过了Java,它也是被研究最多的语言。报告称,在过去的 12 个月里,30%的受访者开始或继续学习Python,甚至比去年还要多。

  • iPadOS14系统Apple Pencil增加什么新功能

    在iPadOS14系统中为手写笔Apple Pencil也增加了多个全新的功能,比如涂文字、新手势等等,这里我们来一起看下Apple Pencil在iPadOS14系统下增加的功能介绍。

  • iPadOS代码显示苹果正在研发调节屏幕、键盘背光的快捷方式

    DoNews 6月5日消息(记者 刘文轩)苹果刚刚推送的iOS/iPadOS 13.5.5测试版代码透露了很多信息,除了先前曝光的Apple News+ Audio和捆绑订阅外,苹果似乎还在研究如何通过快捷方式操控键盘背光。9to5Mac报道称,iOS 13.5.5的代码中提到了部分功能键的键盘快捷方式。这些代码表明存在新的键盘快捷方式,用于更改iPad屏幕和键盘背光亮度。但是这些代码在目前尚未生效,这些快捷方式能否自定义,目前也不得而知。苹果今年推出新款iPad

  • 苹果iPadOS14发布 可以直接使用Apple Pencil书写输入

    苹果首次在线上举办全球开发者大会WWDC20。在本次大会上,苹果会照例对iOS、iPadOS、macOS、watchOS、tvOS进行更新,从每年WWDC的软件蓝图中,开发者和用户都能大致看到苹果未来产品的走向与大致定位,从今年的新iPad Pro定位直指电脑不难发现,苹果也势必会将旗下诸多OS做进一步融合。在iOS之后,苹果继续带来了全新iPadOS14系统,本次更新针对iPad进行了更深度的定制,对iPad的特

  • iOS 14、iPadOS新细节曝光:重新设计UI、优化手写功能

    明天凌晨开幕的WWDC开发者大会,iOS 14等一大波儿新系统可能并不是苹果的重点,而真正的是主角是基于ARM自研Mac处理器。据最新消息称,即便重点不在新系统上,但苹果依然为iOS 14准备了不少新

  • 苹果iPadOS更新将会加入键盘快捷键 方便调节屏幕亮度

    在解析了iPadOS 13.5.5 beta代码后发现,苹果将来可能会加入某些类似于Mac的组合快捷按钮,以弥补新iPad妙控键盘的功能键缺失,让用户能够更方便地直接用键盘快捷按钮调节音量或屏幕亮度等。

  • SKT续约Teddy,网友调侃称这下LPL稳了

    斗玩网原创:对于LPL观众来说,今年最大的希望肯定就是在自家门口举办的S10全球总决赛上,有LPL的战队可以拿到今年的总冠军,让LPL可以连续三年拿到这个冠军奖杯。对于LPL战队而言,最大的对手除了欧洲的G2之外,LCK的战队也依然有很大威胁,其中就包括Faker带领的SKT T1。

  • 由于冠状病毒,Airbnb可能削减在Amazon Web Services上的支出

    [TechWeb]Airbnb首席执行官Brian Chesky表示,如果冠状病毒大流行继续对其业务造成压力,该公司准备在今年进一步削减预算。Chesky 在最近几个月表示,由于Covid-19危机,该公司经历了一轮裁员,冻结了招聘并暂停了营销活动,但仍有可能进一步削减其在亚马逊云计算服务上的支出空间。切斯基说:“亚马逊网络服务(AWS)和客户服务仍有机会提高我们使用数据的方式,处理联系人的效率。” “因此,我们将继续提高业务效率,但此刻业?

  • 苹果iOS14与iPadOS14系统原生输入法将内置五笔输入

    昨日凌晨,苹果全球开发者大会WWDC2020 首次在线上举办,在本次大会上,苹果更新了iOS14、iPadOS14、watchOS7、macOS Big Sur等OS系统。

  • 苹果公布WWDC 2020细节:新一代iOS、iPadOS系统要来了

    对于那些关注WWDC 2020的人来说,苹果现在已经公布了活动的详细细节,而iOS 14等新系统将于6月22日上午 10 点 (即北京时间6月23日凌晨 1 点) 在Apple Park进行全球直播,而国内用户届时可以去腾

  • Google因拒绝为新闻付费 遭出版商攻击

    DoNews 6月19日消息(记者 刘文轩)据彭博社报道,出版商贸易组织News Media Alliance在一份提交给美国司法部的报告中称,Google使新闻机构在没有获得足够报酬的情况下出让其新闻内容。美国司法部目前正在调查Google可能的违反反垄断法的行为。新闻媒体联盟表示,Google严重依赖新闻内容来吸引流量和推动其广告业务,但由于它是一家拥有着强大权力的在线平台,新闻机构很难与这家公司就新闻内容许可证一事展开实际的谈判。知情人士

  • 天猫:欢迎PDD参加天猫618!网友集体懵圈

    618作为一年一度的电商销售盛会,受到了电商平台、商家和消费者的热烈关注。不过,今日天猫发言人,在微博上发布的一条消息,却让众多网友集体懵圈。具体是怎么回事呢?6月10日午间,天猫发言

  • 斗鱼游戏主播PDD加盟天猫618

    DoNews 6月10日消息(记者 程梦玲)今日上午,天猫发言人发博宣布:斗鱼游戏主播、前英雄联盟项目电子竞技选手PDD(刘谋)参加天猫618活动。PDD于2014年6月在微博上宣布正式退役 ,2019年3月25日,正式入驻斗鱼直播平台。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议