淺談利用JavaScript進(jìn)行的DDoS攻擊原理與防御
分布式拒絕服務(wù)攻擊(DDoS)攻擊是一種針對網(wǎng)站發(fā)起的最古老最普遍的攻擊。Nick Sullivan是網(wǎng)站加速和安全服務(wù)提供商CloudFlare的一名系統(tǒng)工程師。近日,他撰文介紹了攻擊者如何利用惡意網(wǎng)站、服務(wù)器劫持和中間人攻擊發(fā)起DDoS攻擊,并說明了如何使用HTTPS以及即將到來的名為“子資源一致性(Subresource Integrity,簡稱SRI)”的Web新技術(shù)保護(hù)網(wǎng)站免受攻擊。
現(xiàn)代網(wǎng)站的大部分交互都來自于JavaScript。網(wǎng)站通過直接向HTML中添加JavaScript代碼或者通過HTML元素<script src="">從遠(yuǎn)程位置加載JavaScript實現(xiàn)交互功能。JavaScript可以發(fā)出HTTP(S)請求,實現(xiàn)網(wǎng)頁內(nèi)容異步加載,但它也能將瀏覽器變成攻擊者的武器。例如,下面的代碼可以向受攻擊網(wǎng)站發(fā)出洪水般的請求:
function imgflood() { var TARGET = 'victim-website.com' var URI = '/index.php?' var pic = new Image() var rand = Math.floor(Math.random() * 1000) pic.src = 'http://'+TARGET+URI+rand+'=val' } setInterval(imgflood, 10)
上述腳本每秒鐘會在頁面上創(chuàng)建10個image標(biāo)簽。該標(biāo)簽指向“victim-website.com”,并帶有一個隨機(jī)查詢參數(shù)。如果用戶訪問了包含這段代碼的惡意網(wǎng)站,那么他就會在不知情的情況下參與了對“victim-website.com”的DDoS攻擊,如下圖所示:
許多網(wǎng)站都使用一套通用的JavaScript庫。為了節(jié)省帶寬及提高性能,它們會使用由第三方托管的JavaScript庫。jQuery是Web上最流行的JavaScript庫,截至2014年大約30%的網(wǎng)站都使用了它。其它流行的庫還有Facebook SDK、Google Analytics。如果一個網(wǎng)站包含了指向第三方托管JavaScript文件的script標(biāo)簽,那么該網(wǎng)站的所有訪問者都會下載該文件并執(zhí)行它。如果攻擊者攻陷了這樣一個托管JavaScript文件的服務(wù)器,并向文件中添加了DDoS代碼,那么所有訪問者都會成為DDoS攻擊的一部分,這就是服務(wù)器劫持,如下圖所示:
這種攻擊之所以有效是因為HTTP中缺少一種機(jī)制使網(wǎng)站能夠禁止被篡改的腳本運行。為了解決這一問題,W3C已經(jīng)提議增加一個新特性子資源一致性。該特性允許網(wǎng)站告訴瀏覽器,只有在其下載的腳本與網(wǎng)站希望運行的腳本一致時才能運行腳本。這是通過密碼散列實現(xiàn)的,代碼如下:
<script src="https://code.jquery.com/jquery-1.10.2.min.js" integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" crossorigin="anonymous">
密碼散列可以唯一標(biāo)識一個數(shù)據(jù)塊,任何兩個文件的密碼散列均不相同。屬性integrity提供了網(wǎng)站希望運行的腳本文件的密碼散列。瀏覽器在下載腳本后會計算它的散列,然后將得出的值與integrity提供的值進(jìn)行比較。如果不匹配,則說明目標(biāo)腳本被篡改,瀏覽器將不使用它。不過,許多瀏覽器目前還不支持該特性,Chrome和Firefox正在增加對這一特性的支持。
中間人攻擊是攻擊者向網(wǎng)站插入惡意JavaScript代碼的最新方式。在通過瀏覽器訪問網(wǎng)站時,中間會經(jīng)過許多節(jié)點。如果任意中間節(jié)點向網(wǎng)頁添加惡意代碼,就形成了中間人攻擊,如下圖所示:
加密技術(shù)可以徹底阻斷這種代碼注入。借助HTTPS,瀏覽器和Web服務(wù)器之間的所有通信都要經(jīng)過加密和驗證,可以防止第三者在傳輸過程中修改網(wǎng)頁。因此,將網(wǎng)站設(shè)為HTTPS-only,并保管好證書以及做好證書驗證,可以有效防止中間人攻擊。
在回復(fù)網(wǎng)友評論時,Nick指出,SRI和HTTPS是相輔相成的,二者同時使用可以為網(wǎng)站提供更好的保護(hù)。除了上述方法外,采用一些防DDoS安全產(chǎn)品來加強(qiáng)防護(hù)也是一種選擇。
相關(guān)文章
基于JavaScript實現(xiàn)網(wǎng)紅太空人表盤的完整代碼
這篇文章主要介紹了基于JavaScript實現(xiàn)網(wǎng)紅太空人表盤的完整代碼,代碼簡單易懂,對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下2021-03-03JavaScript面向?qū)ο蟪绦蛟O(shè)計創(chuàng)建對象的方法分析
這篇文章主要介紹了JavaScript面向?qū)ο蟪绦蛟O(shè)計創(chuàng)建對象的方法,結(jié)合實例形式分析了javascript使用object構(gòu)造函數(shù)和對象字面量來創(chuàng)建對象的相關(guān)操作技巧,需要的朋友可以參考下2018-08-08js按條件生成隨機(jī)json:randomjson實現(xiàn)方法
下面小編就為大家?guī)硪黄猨s按條件生成隨機(jī)json:randomjson實現(xiàn)方法。小編覺得挺不錯的,現(xiàn)在就分享給大家,也給大家做個參考。一起跟隨小編過來看看吧2017-04-04JavaScript中“過于”犀利地for/in循環(huán)使用示例
Java中的增強(qiáng)for循環(huán)很是好用,但是JavaScript中為我們提供的for/in循環(huán)已然不是這么簡單了,下面有個簡單的示例,大家不妨參考下2013-10-10from表單多個按鈕提交用onclick跳轉(zhuǎn)不同action
這篇文章主要介紹了from表單多個按鈕提交用onclick跳轉(zhuǎn)不同action,需要的朋友可以參考下2014-04-04Bootstrap CSS組件之分頁(pagination)和翻頁(pager)
這篇文章主要介為大家詳細(xì)紹了Bootstrap CSS組件之分頁和翻頁的相關(guān)資料,具有一定的參考價值,感興趣的小伙伴們可以參考一下2016-12-12JavaScript實戰(zhàn)(原生range和自定義特效)簡單實例
下面小編就為大家?guī)硪黄狫avaScript實戰(zhàn)(原生range和自定義特效)簡單實例。小編覺得挺不錯的,現(xiàn)在就分享給大家,也給大家做個參考。一起跟隨小編過來看看吧2016-08-08