解析JavaScript实现DDoS攻击原理与保护措施


Posted in Javascript onDecember 26, 2016

DDos介绍

最普遍的攻击是对网站进行分布式拒绝服务(DDoS)攻击。在一个典型的DDoS攻击中,攻击者通过发送大量的数据到服务器,占用服务资源。从而达到阻止其他用户的访问。

如果黑客使用JavaScript的DDoS攻击,那么任何一台计算机都可能成为肉鸡,使潜在的攻击量几乎是无限的。

Javascript实现DDos攻击原理分析

现在网站的交互性都是通过JavaScript来实现的。通过添加JavaScript直接插入HTML元素,或通过远程来加载JavaScript。浏览器会读取script标签中的src属性并运行它所指向的脚本,其实不只是script标签可以用来攻击,简单来说只要是可以跨域访问的标签,如img,link等都可以实现DDos攻击。

既然这些标签可以访问外站的资源,那么我们是不是就可以设个定时器无限访问这个网站,从而达到攻击呢,那是肯定的。

最终DDos攻击手法

如果只是一台电脑进行攻击,那也造不成什么危害,除非是对方网站根本没有对网站进行安全保护,现在大部分网站都有用CDN来隐藏真实的ip,并且这些网站大部分也有防DDos攻击,很多网站也会设置网站黑名单,如果一台计算机在一段时间内不断访问的话,那么就很有可能被加入黑名单。那么难道就没有办法了吗。

自然不是,只要你开放网站,黑客就有办法攻击,当然也要看那个黑客的技术了。

现在的网站几乎都使用了JavaScript的库。为了节省带宽,提高性能,很多网站都通过第三方的网站托管服务,来加载这些js库。如果这些第三方网站的js库中存在恶意代码的话,很有可能被利用,一些牛逼的黑客可以通过破解这些第三方网站的后台,修改脚本。如果用户访问这个网站的话就会下载这些脚本并执行,这些用户的计算机就会变成肉鸡,如果这个网站访问量比较大的话,那么就。。。

简单来说就是通过访问量较大的网站攻击目标网站。

保护措施

为了解决这个问题,W3C提出了一个新的功能叫做子资源的完整性,你可以告诉浏览器如果它不符合你期望的运行脚本,通过使用加密哈希。它就像一个指纹:只有两个文件具有相同的哈希,那么才能被匹配,当用户的计算机下载这些脚本后,浏览器会计算其哈希,如果与预期的不匹配,那么就说明这些脚本已经被篡改,浏览器将不会执行这个脚本。

原先我们是这样引用脚本的

<script src="http://www.xxx.com/xxx.js"></script>

现在的做法

<script src="http://www.xxx.com/xxx.js" integrity="sha384-hK8q2gkBjirpIGHAH+sgqYMv6i6mfx2JVZWJ50jyYhkuEHASU6AS1UTWSo32wuGL" crossorigin="anonymous"><br><br>integrity:哈希值<br>crossorigin:是为了保证浏览器的同源策略的正确实施,防止跨站脚本(XSS)攻击<br><br>生成哈希值的网站:www.srihash.org

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持三水点靠木!

Javascript 相关文章推荐
Jquery attr(&quot;checked&quot;) 返回checked或undefined 获取选中失效
Oct 10 Javascript
基于JavaScript实现仿京东图片轮播效果
Nov 06 Javascript
js图片轮播手动切换效果
Nov 10 Javascript
详解js中构造流程图的核心技术JsPlumb
Dec 08 Javascript
JavaScript String 对象常用方法详解
May 13 Javascript
JavaScript实现换肤功能
Sep 15 Javascript
详解vue项目中如何引入全局sass/less变量、function、mixin
Jun 02 Javascript
JS FormData对象使用方法实例详解
Feb 12 Javascript
JS实现长图上下滚动效果
Mar 19 Javascript
Javascript文本框脚本实现方法解析
Oct 30 Javascript
js属性对象的hasOwnProperty方法的使用
Feb 05 Javascript
Vue elementUI表单嵌套表格并对每行进行校验详解
Feb 18 Vue.js
JS实现密码框的显示密码和隐藏密码功能示例
Dec 26 #Javascript
原生JS下拉加载插件分享
Dec 26 #Javascript
jQuery实现的checkbox级联选择下拉菜单效果示例
Dec 26 #Javascript
javascript输出AscII码扩展集中的字符方法
Dec 26 #Javascript
在一个页面重复使用一个js函数的方法详解
Dec 26 #Javascript
jquery无法为动态生成的元素添加点击事件的解决方法(推荐)
Dec 26 #Javascript
jQuery实现动态添加tr到table的方法
Dec 26 #Javascript
You might like
全世界最小的php网页木马一枚 附PHP木马的防范方法
2009/10/09 PHP
Laravel中扩展Memcached缓存驱动实现使用阿里云OCS缓存
2015/02/10 PHP
PHPCMS手机站伪静态设置详细教程
2017/02/06 PHP
PHP获取文本框、密码域、按钮的值实例代码
2017/04/19 PHP
谷歌浏览器 insertCell与appendChild的区别
2009/02/12 Javascript
js简单实现用户注册信息的校验代码
2013/11/15 Javascript
浅谈js中的闭包
2015/03/16 Javascript
jquery实现简单的表单验证
2015/11/17 Javascript
jqPlot jQuery绘图插件的使用
2016/06/18 Javascript
简单的vue-resourse获取json并应用到模板示例
2017/02/10 Javascript
详解Vue 实例中的生命周期钩子
2017/03/21 Javascript
Django1.7+JQuery+Ajax验证用户注册集成小例子
2017/04/08 jQuery
nodeJS实现路由功能实例代码
2017/06/08 NodeJs
JavaScript多种页面刷新方法小结
2019/04/04 Javascript
Vue函数式组件-你值得拥有
2019/05/09 Javascript
vue组件间通信六种方式(总结篇)
2019/05/15 Javascript
浅谈Vue项目骨架屏注入实践
2019/08/05 Javascript
浅谈vue限制文本框输入数字的正确姿势
2019/09/02 Javascript
vue自动化路由的实现代码
2019/09/30 Javascript
[00:37]2016完美“圣”典风云人物:rOtk宣传片
2016/12/09 DOTA
[01:03:36]DOTA2-DPC中国联赛 正赛 VG vs Magma BO3 第二场 1月26日
2021/03/11 DOTA
Python使用logging结合decorator模式实现优化日志输出的方法
2016/04/16 Python
python中pandas.DataFrame的简单操作方法(创建、索引、增添与删除)
2017/03/12 Python
Python实现的凯撒密码算法示例
2018/04/12 Python
Python实现的微信好友数据分析功能示例
2018/06/21 Python
Django获取应用下的所有models的例子
2019/08/30 Python
Python 无限级分类树状结构生成算法的实现
2021/01/21 Python
使用css3实现的tab选项卡代码分享
2014/12/09 HTML / CSS
什么是反射
2012/03/17 面试题
活动倡议书范文
2014/05/13 职场文书
珍惜资源的建议书
2014/08/26 职场文书
党员教师四风自我剖析材料
2014/09/30 职场文书
党的群众路线教育实践活动整改方案
2014/10/28 职场文书
实习介绍信范文
2015/05/05 职场文书
利用 JavaScript 构建命令行应用
2021/11/17 Javascript
关于使用Redisson订阅数问题
2022/01/18 Redis