浅谈利用JavaScript进行的DDoS攻击原理与防御


Posted in Javascript onJune 04, 2015

分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击。Nick Sullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师。近日,他撰文介绍了攻击者如何利用恶意网站、服务器劫持和中间人攻击发起DDoS攻击,并说明了如何使用HTTPS以及即将到来的名为“子资源一致性(Subresource Integrity,简称SRI)”的Web新技术保护网站免受攻击。

现代网站的大部分交互都来自于JavaScript。网站通过直接向HTML中添加JavaScript代码或者通过HTML元素<script src="">从远程位置加载JavaScript实现交互功能。JavaScript可以发出HTTP(S)请求,实现网页内容异步加载,但它也能将浏览器变成攻击者的武器。例如,下面的代码可以向受攻击网站发出洪水般的请求:

function imgflood() { 
   var TARGET = 'victim-website.com'
   var URI = '/index.php?'
   var pic = new Image()
   var rand = Math.floor(Math.random() * 1000)
   pic.src = 'http://'+TARGET+URI+rand+'=val'
  }
  setInterval(imgflood, 10)

上述脚本每秒钟会在页面上创建10个image标签。该标签指向“victim-website.com”,并带有一个随机查询参数。如果用户访问了包含这段代码的恶意网站,那么他就会在不知情的情况下参与了对“victim-website.com”的DDoS攻击,如下图所示:

浅谈利用JavaScript进行的DDoS攻击原理与防御

许多网站都使用一套通用的JavaScript库。为了节省带宽及提高性能,它们会使用由第三方托管的JavaScript库。jQuery是Web上最流行的JavaScript库,截至2014年大约30%的网站都使用了它。其它流行的库还有Facebook SDK、Google Analytics。如果一个网站包含了指向第三方托管JavaScript文件的script标签,那么该网站的所有访问者都会下载该文件并执行它。如果攻击者攻陷了这样一个托管JavaScript文件的服务器,并向文件中添加了DDoS代码,那么所有访问者都会成为DDoS攻击的一部分,这就是服务器劫持,如下图所示:

浅谈利用JavaScript进行的DDoS攻击原理与防御

这种攻击之所以有效是因为HTTP中缺少一种机制使网站能够禁止被篡改的脚本运行。为了解决这一问题,W3C已经提议增加一个新特性子资源一致性。该特性允许网站告诉浏览器,只有在其下载的脚本与网站希望运行的脚本一致时才能运行脚本。这是通过密码散列实现的,代码如下:

<script src="https://code.jquery.com/jquery-1.10.2.min.js" 
  integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" 
  crossorigin="anonymous">

密码散列可以唯一标识一个数据块,任何两个文件的密码散列均不相同。属性integrity提供了网站希望运行的脚本文件的密码散列。浏览器在下载脚本后会计算它的散列,然后将得出的值与integrity提供的值进行比较。如果不匹配,则说明目标脚本被篡改,浏览器将不使用它。不过,许多浏览器目前还不支持该特性,Chrome和Firefox正在增加对这一特性的支持。

中间人攻击是攻击者向网站插入恶意JavaScript代码的最新方式。在通过浏览器访问网站时,中间会经过许多节点。如果任意中间节点向网页添加恶意代码,就形成了中间人攻击,如下图所示:

浅谈利用JavaScript进行的DDoS攻击原理与防御

加密技术可以彻底阻断这种代码注入。借助HTTPS,浏览器和Web服务器之间的所有通信都要经过加密和验证,可以防止第三者在传输过程中修改网页。因此,将网站设为HTTPS-only,并保管好证书以及做好证书验证,可以有效防止中间人攻击。

在回复网友评论时,Nick指出,SRI和HTTPS是相辅相成的,二者同时使用可以为网站提供更好的保护。除了上述方法外,采用一些防DDoS安全产品来加强防护也是一种选择。

Javascript 相关文章推荐
JavaScript isArray()函数判断对象类型的种种方法
Oct 11 Javascript
jquery实现智能感知连接外网搜索
May 21 Javascript
JavaScript实现的购物车效果可以运用在好多地方
May 09 Javascript
简单介绍JavaScript的变量和数据类型
Jun 03 Javascript
Javascript对象字面量的理解
Jun 22 Javascript
Three.js基础部分学习
Jan 08 Javascript
详解本地Node.js服务器作为api服务器的解决办法
Feb 28 Javascript
JS实现汉字与Unicode码相互转换的方法详解
Apr 28 Javascript
Vue.js在数组中插入重复数据的实现代码
Nov 17 Javascript
vue实现页面切换滑动效果
Jun 29 Javascript
在js中修改html body的样式
Nov 11 Javascript
create-react-app开发常用配置教程
Jun 25 Javascript
js动态创建及移除div的方法
Jun 03 #Javascript
JS实现窗口加载时模拟鼠标移动的方法
Jun 03 #Javascript
利用js实现禁止复制文本信息
Jun 03 #Javascript
详解JavaScript中循环控制语句的用法
Jun 03 #Javascript
讲解JavaScript中for...in语句的使用方法
Jun 03 #Javascript
JavaScript中for循环的使用详解
Jun 03 #Javascript
详解JavaScript的while循环的使用
Jun 03 #Javascript
You might like
php 在线打包_支持子目录
2008/06/28 PHP
通过PHP简单实例介绍文件上传
2015/12/16 PHP
php实现xml与json之间的相互转换功能实例
2016/07/07 PHP
php 三大特点:封装,继承,多态
2017/02/19 PHP
列表内容的选择
2006/06/30 Javascript
浏览器无法运行JAVA脚本的解决方法
2008/01/09 Javascript
jquery自动切换tabs选项卡的具体实现
2013/12/24 Javascript
jquery实现多行文字图片滚动效果示例代码
2014/10/10 Javascript
JQueryMiniUI按照时间进行查询的实现方法
2017/06/07 jQuery
详谈innerHTML innerText的使用和区别
2017/08/18 Javascript
给vue项目添加ESLint的详细步骤
2017/09/29 Javascript
详解express + mock让前后台并行开发
2018/06/06 Javascript
vue+iview+less 实现换肤功能
2018/08/17 Javascript
vue webpack开发访问后台接口全局配置的方法
2018/09/18 Javascript
JavaScript实现新年倒计时效果
2018/11/17 Javascript
微信小程序视图控件与bindtap之间的问题的解决
2019/04/08 Javascript
vue内置组件component--通过is属性动态渲染组件操作
2020/07/28 Javascript
JS访问对象两种方式区别解析
2020/08/29 Javascript
[13:38]2015国际邀请赛中国战队出征仪式
2015/05/29 DOTA
python列表去重的二种方法
2014/02/14 Python
python正则表达式中的括号匹配问题
2014/12/14 Python
Python使用pyh生成HTML文档的方法示例
2018/03/10 Python
Django Rest framework之认证的实现代码
2018/12/17 Python
解决PySide+Python子线程更新UI线程的问题
2019/01/11 Python
python实现图书借阅系统
2019/02/20 Python
如何基于python对接钉钉并获取access_token
2020/04/21 Python
关于matplotlib-legend 位置属性 loc 使用说明
2020/05/16 Python
Python本地及虚拟解释器配置过程解析
2020/10/13 Python
澳大利亚排名第一的狂热牛仔品牌:ONETEASPOON
2018/11/20 全球购物
南京迈特望C/C++面试题
2012/07/09 面试题
2014年幼儿园元旦活动方案
2014/02/13 职场文书
汽车专业求职信
2014/06/05 职场文书
公司开会通知
2015/04/20 职场文书
企业党员岗位承诺书
2015/04/27 职场文书
2016年员工政治思想表现评语
2015/12/02 职场文书
Python编程中Python与GIL互斥锁关系作用分析
2021/09/15 Python