DDos介紹

最普遍的攻擊是對網(wǎng)站進行分布式拒絕服務(wù)（DDoS）攻擊。在一個典型的DDoS攻擊中，攻擊者通過發(fā)送大量的數(shù)據(jù)到服務(wù)器，占用服務(wù)資源。從而達到阻止其他用戶的訪問。

如果黑客使用JavaScript的DDoS攻擊，那么任何一臺計算機都可能成為肉雞，使?jié)撛诘墓袅繋缀跏菬o限的。

Javascript實現(xiàn)DDos攻擊原理分析

現(xiàn)在網(wǎng)站的交互性都是通過JavaScript來實現(xiàn)的。通過添加JavaScript直接插入HTML元素，或通過遠程來加載JavaScript。瀏覽器會讀取script標簽中的src屬性并運行它所指向的腳本，其實不只是script標簽可以用來攻擊，簡單來說只要是可以跨域訪問的標簽，如img，link等都可以實現(xiàn)DDos攻擊。

既然這些標簽可以訪問外站的資源，那么我們是不是就可以設(shè)個定時器無限訪問這個網(wǎng)站，從而達到攻擊呢，那是肯定的。

最終DDos攻擊手法

如果只是一臺電腦進行攻擊，那也造不成什么危害，除非是對方網(wǎng)站根本沒有對網(wǎng)站進行安全保護，現(xiàn)在大部分網(wǎng)站都有用CDN來隱藏真實的ip，并且這些網(wǎng)站大部分也有防DDos攻擊，很多網(wǎng)站也會設(shè)置網(wǎng)站黑名單，如果一臺計算機在一段時間內(nèi)不斷訪問的話，那么就很有可能被加入黑名單。那么難道就沒有辦法了嗎。

自然不是，只要你開放網(wǎng)站，黑客就有辦法攻擊，當然也要看那個黑客的技術(shù)了。

現(xiàn)在的網(wǎng)站幾乎都使用了JavaScript的庫。為了節(jié)省帶寬，提高性能，很多網(wǎng)站都通過第三方的網(wǎng)站托管服務(wù)，來加載這些js庫。如果這些第三方網(wǎng)站的js庫中存在惡意代碼的話，很有可能被利用，一些牛逼的黑客可以通過破解這些第三方網(wǎng)站的后臺，修改腳本。如果用戶訪問這個網(wǎng)站的話就會下載這些腳本并執(zhí)行，這些用戶的計算機就會變成肉雞，如果這個網(wǎng)站訪問量比較大的話，那么就。。。

簡單來說就是通過訪問量較大的網(wǎng)站攻擊目標網(wǎng)站。

保護措施

為了解決這個問題，W3C提出了一個新的功能叫做子資源的完整性，你可以告訴瀏覽器如果它不符合你期望的運行腳本,通過使用加密哈希。它就像一個指紋：只有兩個文件具有相同的哈希，那么才能被匹配，當用戶的計算機下載這些腳本后，瀏覽器會計算其哈希，如果與預(yù)期的不匹配，那么就說明這些腳本已經(jīng)被篡改，瀏覽器將不會執(zhí)行這個腳本。

原先我們是這樣引用腳本的

<script src=">

<script src="http://www.xxx.com/xxx.js" integrity="sha384-hK8q2gkBjirpIGHAH+sgqYMv6i6mfx2JVZWJ50jyYhkuEHASU6AS1UTWSo32wuGL" crossorigin="anonymous"><br><br>integrity：哈希值<br>crossorigin：是為了保證瀏覽器的同源策略的正確實施，防止跨站腳本（XSS）攻擊<br><br>生成哈希值的網(wǎng)站：www.srihash.org

最新評論