解析JavaScript实现DDoS攻击原理与保护措施


Posted in Javascript onDecember 26, 2016

DDos介绍

最普遍的攻击是对网站进行分布式拒绝服务(DDoS)攻击。在一个典型的DDoS攻击中,攻击者通过发送大量的数据到服务器,占用服务资源。从而达到阻止其他用户的访问。

如果黑客使用JavaScript的DDoS攻击,那么任何一台计算机都可能成为肉鸡,使潜在的攻击量几乎是无限的。

Javascript实现DDos攻击原理分析

现在网站的交互性都是通过JavaScript来实现的。通过添加JavaScript直接插入HTML元素,或通过远程来加载JavaScript。浏览器会读取script标签中的src属性并运行它所指向的脚本,其实不只是script标签可以用来攻击,简单来说只要是可以跨域访问的标签,如img,link等都可以实现DDos攻击。

既然这些标签可以访问外站的资源,那么我们是不是就可以设个定时器无限访问这个网站,从而达到攻击呢,那是肯定的。

最终DDos攻击手法

如果只是一台电脑进行攻击,那也造不成什么危害,除非是对方网站根本没有对网站进行安全保护,现在大部分网站都有用CDN来隐藏真实的ip,并且这些网站大部分也有防DDos攻击,很多网站也会设置网站黑名单,如果一台计算机在一段时间内不断访问的话,那么就很有可能被加入黑名单。那么难道就没有办法了吗。

自然不是,只要你开放网站,黑客就有办法攻击,当然也要看那个黑客的技术了。

现在的网站几乎都使用了JavaScript的库。为了节省带宽,提高性能,很多网站都通过第三方的网站托管服务,来加载这些js库。如果这些第三方网站的js库中存在恶意代码的话,很有可能被利用,一些牛逼的黑客可以通过破解这些第三方网站的后台,修改脚本。如果用户访问这个网站的话就会下载这些脚本并执行,这些用户的计算机就会变成肉鸡,如果这个网站访问量比较大的话,那么就。。。

简单来说就是通过访问量较大的网站攻击目标网站。

保护措施

为了解决这个问题,W3C提出了一个新的功能叫做子资源的完整性,你可以告诉浏览器如果它不符合你期望的运行脚本,通过使用加密哈希。它就像一个指纹:只有两个文件具有相同的哈希,那么才能被匹配,当用户的计算机下载这些脚本后,浏览器会计算其哈希,如果与预期的不匹配,那么就说明这些脚本已经被篡改,浏览器将不会执行这个脚本。

原先我们是这样引用脚本的

<script src="http://www.xxx.com/xxx.js"></script>

现在的做法

<script src="http://www.xxx.com/xxx.js" integrity="sha384-hK8q2gkBjirpIGHAH+sgqYMv6i6mfx2JVZWJ50jyYhkuEHASU6AS1UTWSo32wuGL" crossorigin="anonymous"><br><br>integrity:哈希值<br>crossorigin:是为了保证浏览器的同源策略的正确实施,防止跨站脚本(XSS)攻击<br><br>生成哈希值的网站:www.srihash.org

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持三水点靠木!

Javascript 相关文章推荐
基于jquery的分页控件(C#)
Jan 06 Javascript
JavaScript阻止浏览器返回按钮的方法
Mar 18 Javascript
js实现简易的单数字随机抽奖(0-9)
Mar 19 Javascript
如何解决谷歌浏览器下jquery无法获取图片的尺寸
Sep 10 Javascript
可输入文字查找ajax下拉框控件 ComBox的实现方法
Oct 25 Javascript
微信小程序实现图片自适应(支持多图)
Jan 25 Javascript
微信小程序之蓝牙的链接
Sep 26 Javascript
详解如何在vue-cli中使用vuex
Aug 07 Javascript
Vuex mutitons和actions初使用详解
Mar 04 Javascript
在 Vue 应用中使用 Netlify 表单功能的方法详解
Jun 03 Javascript
详解ES6 Promise的生命周期和创建
Aug 18 Javascript
vue-cli脚手架的.babelrc文件用法说明
Sep 11 Javascript
JS实现密码框的显示密码和隐藏密码功能示例
Dec 26 #Javascript
原生JS下拉加载插件分享
Dec 26 #Javascript
jQuery实现的checkbox级联选择下拉菜单效果示例
Dec 26 #Javascript
javascript输出AscII码扩展集中的字符方法
Dec 26 #Javascript
在一个页面重复使用一个js函数的方法详解
Dec 26 #Javascript
jquery无法为动态生成的元素添加点击事件的解决方法(推荐)
Dec 26 #Javascript
jQuery实现动态添加tr到table的方法
Dec 26 #Javascript
You might like
让PHP开发者事半功倍的十大技巧小结
2010/04/20 PHP
完美解决PHP中的Cannot modify header information 问题
2013/08/12 PHP
destoon实现调用热门关键字的方法
2014/07/15 PHP
php数字每三位加逗号的功能函数
2015/10/22 PHP
YII使用url组件美化管理的方法
2015/12/28 PHP
Zend Framework教程之分发器Zend_Controller_Dispatcher用法详解
2016/03/07 PHP
PHP钩子与简单分发方式实例分析
2017/09/04 PHP
Laravel学习教程之View模块详解
2017/09/18 PHP
js模拟弹出效果代码修正版
2008/08/07 Javascript
Jquery优化效率 提升性能解决方案
2010/09/06 Javascript
jquery 层次选择器siblings与nextAll的区别介绍
2013/08/02 Javascript
jquery的trigger和triggerHandler的区别示例介绍
2014/04/20 Javascript
jquery实现对联广告的方法
2015/02/05 Javascript
详解原生JavaScript实现jQuery中AJAX处理的方法
2016/05/10 Javascript
Angular2内置指令NgFor和NgIf详解
2016/08/03 Javascript
微信小程序获取手机系统信息的方法【附源码下载】
2017/12/07 Javascript
JS通用方法触发点击事件代码实例
2020/02/17 Javascript
Python使用PIL模块生成随机验证码
2017/11/21 Python
Python爬豆瓣电影实例
2018/02/23 Python
Python lxml解析HTML并用xpath获取元素的方法
2019/01/02 Python
Python实现检测文件的MD5值来查找重复文件案例
2020/03/12 Python
python和php哪个容易学
2020/06/19 Python
python爬虫用scrapy获取影片的实例分析
2020/11/23 Python
python中slice参数过长的处理方法及实例
2020/12/15 Python
使用bandit对目标python代码进行安全函数扫描的案例分析
2021/01/27 Python
英国最受欢迎的手表网站:Watch Shop
2016/10/21 全球购物
世界上最大的在线学习和教学市场:Udemy
2017/11/08 全球购物
Shopty西班牙:缝纫机在线销售
2018/01/26 全球购物
罗技英国官方网站:Logitech UK
2020/11/03 全球购物
描述Cookie和Session的作用,区别和各自的应用范围,Session工作原理
2015/03/25 面试题
Unix控制后台进程都有哪些进程
2016/09/22 面试题
前台文员岗位职责
2015/02/04 职场文书
2019年市场部个人述职报告(三篇)
2019/10/23 职场文书
CocosCreator入门教程之网络通信
2021/04/16 Javascript
Python爬虫框架之Scrapy中Spider的用法
2021/06/28 Python
tree shaking对打包体积优化及作用
2022/07/07 Java/Android