解析JavaScript实现DDoS攻击原理与保护措施


Posted in Javascript onDecember 26, 2016

DDos介绍

最普遍的攻击是对网站进行分布式拒绝服务(DDoS)攻击。在一个典型的DDoS攻击中,攻击者通过发送大量的数据到服务器,占用服务资源。从而达到阻止其他用户的访问。

如果黑客使用JavaScript的DDoS攻击,那么任何一台计算机都可能成为肉鸡,使潜在的攻击量几乎是无限的。

Javascript实现DDos攻击原理分析

现在网站的交互性都是通过JavaScript来实现的。通过添加JavaScript直接插入HTML元素,或通过远程来加载JavaScript。浏览器会读取script标签中的src属性并运行它所指向的脚本,其实不只是script标签可以用来攻击,简单来说只要是可以跨域访问的标签,如img,link等都可以实现DDos攻击。

既然这些标签可以访问外站的资源,那么我们是不是就可以设个定时器无限访问这个网站,从而达到攻击呢,那是肯定的。

最终DDos攻击手法

如果只是一台电脑进行攻击,那也造不成什么危害,除非是对方网站根本没有对网站进行安全保护,现在大部分网站都有用CDN来隐藏真实的ip,并且这些网站大部分也有防DDos攻击,很多网站也会设置网站黑名单,如果一台计算机在一段时间内不断访问的话,那么就很有可能被加入黑名单。那么难道就没有办法了吗。

自然不是,只要你开放网站,黑客就有办法攻击,当然也要看那个黑客的技术了。

现在的网站几乎都使用了JavaScript的库。为了节省带宽,提高性能,很多网站都通过第三方的网站托管服务,来加载这些js库。如果这些第三方网站的js库中存在恶意代码的话,很有可能被利用,一些牛逼的黑客可以通过破解这些第三方网站的后台,修改脚本。如果用户访问这个网站的话就会下载这些脚本并执行,这些用户的计算机就会变成肉鸡,如果这个网站访问量比较大的话,那么就。。。

简单来说就是通过访问量较大的网站攻击目标网站。

保护措施

为了解决这个问题,W3C提出了一个新的功能叫做子资源的完整性,你可以告诉浏览器如果它不符合你期望的运行脚本,通过使用加密哈希。它就像一个指纹:只有两个文件具有相同的哈希,那么才能被匹配,当用户的计算机下载这些脚本后,浏览器会计算其哈希,如果与预期的不匹配,那么就说明这些脚本已经被篡改,浏览器将不会执行这个脚本。

原先我们是这样引用脚本的

<script src="http://www.xxx.com/xxx.js"></script>

现在的做法

<script src="http://www.xxx.com/xxx.js" integrity="sha384-hK8q2gkBjirpIGHAH+sgqYMv6i6mfx2JVZWJ50jyYhkuEHASU6AS1UTWSo32wuGL" crossorigin="anonymous"><br><br>integrity:哈希值<br>crossorigin:是为了保证浏览器的同源策略的正确实施,防止跨站脚本(XSS)攻击<br><br>生成哈希值的网站:www.srihash.org

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持三水点靠木!

Javascript 相关文章推荐
Javascript操纵Cookie实现购物车程序
Nov 23 Javascript
如何判断鼠标是否在DIV的区域内
Nov 13 Javascript
关于Javascript作用域链的八点总结
Dec 06 Javascript
用javascript关闭本窗口技巧小结
Sep 05 Javascript
CSS3 media queries结合jQuery实现响应式导航
Sep 30 Javascript
JavaScript实现多栏目切换效果
Dec 12 Javascript
jquery实现楼层滚动效果
Jan 01 jQuery
聊聊JS动画库 Velocity.js的使用
Mar 13 Javascript
微信小程序实现动态列表项的顺序加载动画
Jul 25 Javascript
vue本地打开build后生成的dist文件夹index.html问题
Sep 04 Javascript
JavaScript的变量声明与声明提前用法实例分析
Nov 26 Javascript
es6函数中的作用域实例分析
Apr 18 Javascript
JS实现密码框的显示密码和隐藏密码功能示例
Dec 26 #Javascript
原生JS下拉加载插件分享
Dec 26 #Javascript
jQuery实现的checkbox级联选择下拉菜单效果示例
Dec 26 #Javascript
javascript输出AscII码扩展集中的字符方法
Dec 26 #Javascript
在一个页面重复使用一个js函数的方法详解
Dec 26 #Javascript
jquery无法为动态生成的元素添加点击事件的解决方法(推荐)
Dec 26 #Javascript
jQuery实现动态添加tr到table的方法
Dec 26 #Javascript
You might like
php中设置index.php文件为只读的方法
2013/02/06 PHP
php记录代码执行时间(实现代码)
2013/07/05 PHP
WordPress中限制非管理员用户在文章后只能评论一次
2015/12/31 PHP
[原创]解决wincache不支持64位PHP5.5/5.6的问题(提供64位wincache下载)
2016/06/22 PHP
tp5.1 框架数据库高级查询技巧实例总结
2020/05/25 PHP
html+javascript实现可拖动可提交的弹出层对话框效果
2013/08/05 Javascript
javascript定义变量时加var与不加var的区别
2014/12/22 Javascript
JS中动态创建元素的三种方法总结(推荐)
2016/10/20 Javascript
vue组件中点击按钮后修改输入框的状态实例代码
2017/04/14 Javascript
js实现图片懒加载效果
2017/07/17 Javascript
微信小程序实现星级评分和展示
2018/07/05 Javascript
微信小程序实时聊天WebSocket
2018/07/05 Javascript
JS开发自己的类库实例分析
2019/08/28 Javascript
vue中更改数组中属性,在页面中不生效的解决方法
2019/10/30 Javascript
简单了解JS打开url的方法
2020/02/21 Javascript
原生JavaScript创建不可变对象的方法简单示例
2020/05/07 Javascript
[05:02]2014DOTA2 TI中国区预选赛精彩TOPPLAY第三弹
2014/06/25 DOTA
[01:08:09]DOTA2上海特级锦标赛主赛事日 - 1 胜者组第一轮#1Liquid VS Alliance第二局
2016/03/02 DOTA
Python 3.x 连接数据库示例(pymysql 方式)
2017/01/19 Python
浅谈Python里面小数点精度的控制
2018/07/16 Python
基于python实现简单日历
2018/07/28 Python
python实现梯度下降算法
2020/03/24 Python
Python各种扩展名区别点整理
2020/02/27 Python
Ryderwear澳洲官网:澳大利亚高端健身训练装备品牌
2018/09/18 全球购物
俄罗斯园林植物网上商店:Garshinka
2020/07/16 全球购物
北京捷通华声语音技术有限公司Java软件工程师笔试题
2012/04/10 面试题
火车的故事教学反思
2014/02/11 职场文书
英语分层教学实施方案
2014/06/15 职场文书
党员对照检查剖析材料
2014/10/13 职场文书
会计工作总结范文2014
2014/12/23 职场文书
教师节慰问信
2015/02/15 职场文书
2015年前台个人工作总结
2015/04/03 职场文书
装饰技术负责人岗位职责
2015/04/13 职场文书
运动会运动员赞词
2015/07/22 职场文书
家访教师心得体会
2016/01/23 职场文书
Python3 如何开启自带http服务
2021/05/18 Python