解析JavaScript实现DDoS攻击原理与保护措施


Posted in Javascript onDecember 26, 2016

DDos介绍

最普遍的攻击是对网站进行分布式拒绝服务(DDoS)攻击。在一个典型的DDoS攻击中,攻击者通过发送大量的数据到服务器,占用服务资源。从而达到阻止其他用户的访问。

如果黑客使用JavaScript的DDoS攻击,那么任何一台计算机都可能成为肉鸡,使潜在的攻击量几乎是无限的。

Javascript实现DDos攻击原理分析

现在网站的交互性都是通过JavaScript来实现的。通过添加JavaScript直接插入HTML元素,或通过远程来加载JavaScript。浏览器会读取script标签中的src属性并运行它所指向的脚本,其实不只是script标签可以用来攻击,简单来说只要是可以跨域访问的标签,如img,link等都可以实现DDos攻击。

既然这些标签可以访问外站的资源,那么我们是不是就可以设个定时器无限访问这个网站,从而达到攻击呢,那是肯定的。

最终DDos攻击手法

如果只是一台电脑进行攻击,那也造不成什么危害,除非是对方网站根本没有对网站进行安全保护,现在大部分网站都有用CDN来隐藏真实的ip,并且这些网站大部分也有防DDos攻击,很多网站也会设置网站黑名单,如果一台计算机在一段时间内不断访问的话,那么就很有可能被加入黑名单。那么难道就没有办法了吗。

自然不是,只要你开放网站,黑客就有办法攻击,当然也要看那个黑客的技术了。

现在的网站几乎都使用了JavaScript的库。为了节省带宽,提高性能,很多网站都通过第三方的网站托管服务,来加载这些js库。如果这些第三方网站的js库中存在恶意代码的话,很有可能被利用,一些牛逼的黑客可以通过破解这些第三方网站的后台,修改脚本。如果用户访问这个网站的话就会下载这些脚本并执行,这些用户的计算机就会变成肉鸡,如果这个网站访问量比较大的话,那么就。。。

简单来说就是通过访问量较大的网站攻击目标网站。

保护措施

为了解决这个问题,W3C提出了一个新的功能叫做子资源的完整性,你可以告诉浏览器如果它不符合你期望的运行脚本,通过使用加密哈希。它就像一个指纹:只有两个文件具有相同的哈希,那么才能被匹配,当用户的计算机下载这些脚本后,浏览器会计算其哈希,如果与预期的不匹配,那么就说明这些脚本已经被篡改,浏览器将不会执行这个脚本。

原先我们是这样引用脚本的

<script src="http://www.xxx.com/xxx.js"></script>

现在的做法

<script src="http://www.xxx.com/xxx.js" integrity="sha384-hK8q2gkBjirpIGHAH+sgqYMv6i6mfx2JVZWJ50jyYhkuEHASU6AS1UTWSo32wuGL" crossorigin="anonymous"><br><br>integrity:哈希值<br>crossorigin:是为了保证浏览器的同源策略的正确实施,防止跨站脚本(XSS)攻击<br><br>生成哈希值的网站:www.srihash.org

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持三水点靠木!

Javascript 相关文章推荐
统一接口:为FireFox添加IE的方法和属性的js代码
Mar 25 Javascript
Dom 结点创建 基础知识
Oct 01 Javascript
javascript 表格内容排序 简单操作示例代码
Jan 03 Javascript
js实现可兼容IE、FF、Chrome、Opera及Safari的音乐播放器
Feb 11 Javascript
javascript中arguments,callee,caller详解
Mar 16 Javascript
Bootstrap轮播插件使用代码
Oct 11 Javascript
Vue中之nextTick函数源码分析详解
Oct 17 Javascript
jQuery第一次运行页面默认触发点击事件的实例
Jan 10 jQuery
Vue2.0结合webuploader实现文件分片上传功能
Mar 09 Javascript
vue中eslintrc.js配置最详细介绍
Dec 21 Javascript
微信小程序图片右边加两行文字的代码
Apr 23 Javascript
js前端传json后台接收‘‘被转为quot的问题解决
Nov 12 Javascript
JS实现密码框的显示密码和隐藏密码功能示例
Dec 26 #Javascript
原生JS下拉加载插件分享
Dec 26 #Javascript
jQuery实现的checkbox级联选择下拉菜单效果示例
Dec 26 #Javascript
javascript输出AscII码扩展集中的字符方法
Dec 26 #Javascript
在一个页面重复使用一个js函数的方法详解
Dec 26 #Javascript
jquery无法为动态生成的元素添加点击事件的解决方法(推荐)
Dec 26 #Javascript
jQuery实现动态添加tr到table的方法
Dec 26 #Javascript
You might like
phpfans留言版用到的数据操作类和分页类
2007/01/04 PHP
windows服务器中检测PHP SSL是否开启以及开启SSL的方法
2014/04/25 PHP
PHP实现的博客欢迎提示功能(很特别哦)
2014/06/05 PHP
jQuery Mobile + PHP实现文件上传
2014/12/12 PHP
php绘制一条直线的方法
2015/01/24 PHP
PHP+Jquery与ajax相结合实现下拉淡出瀑布流效果【无需插件】
2016/05/06 PHP
js 编程笔记 无名函数
2011/06/28 Javascript
jquery实现的随机多彩tag标签随机颜色和字号大小效果
2014/03/27 Javascript
js生成缩略图后上传并利用canvas重绘
2014/05/15 Javascript
javascript定义变量时带var与不带var的区别分析
2015/01/12 Javascript
jQuery实现下拉菜单(内容为时间)的实时更新及图表的随动更新的方法
2016/07/07 Javascript
基于JavaScript实现前端文件的断点续传
2016/10/17 Javascript
node.js操作mongodb简单示例分享
2017/05/25 Javascript
详解webpack+vue-cli项目打包技巧
2017/06/17 Javascript
Vue利用canvas实现移动端手写板的方法
2018/05/03 Javascript
ES6中字符串的使用方法扩展
2019/06/04 Javascript
如何利用JavaScript编写更好的条件语句详解
2020/08/10 Javascript
[01:56]无止竞 再出发——中国军团出征2017年DOTA2国际邀请赛
2017/07/05 DOTA
python去除文件中空格、Tab及回车的方法
2016/04/12 Python
Python批量查询域名是否被注册过
2017/06/21 Python
详解python函数传参是传值还是传引用
2018/01/16 Python
在python3中实现更新界面
2020/02/21 Python
深入了解python列表(LIST)
2020/06/08 Python
CSS3实现图片抽屉式效果的示例代码
2019/11/06 HTML / CSS
基于Modernizr 让网站进行优雅降级的分析
2013/04/21 HTML / CSS
HTML5本地数据库基础操作详解
2016/04/26 HTML / CSS
水芝澳美国官网:H2O Plus
2016/10/15 全球购物
舞蹈教育学专业推荐信
2013/11/27 职场文书
CAD制图设计师自荐信
2014/01/29 职场文书
优秀技术工人先进材料
2014/02/17 职场文书
含预算的公司户外活动方案
2014/08/16 职场文书
重阳节活动主持词
2015/07/04 职场文书
幼儿园小班教育随笔
2015/08/14 职场文书
python process模块的使用简介
2021/05/14 Python
React列表栏及购物车组件使用详解
2021/06/28 Javascript
多台电脑共享文件怎么设置?多台电脑共享文件操作教程
2022/04/08 数码科技