-
DDos介紹
最普遍的攻擊是對網站進行分布式拒絕服務(DDoS)攻擊。在一個典型的DDoS攻擊中,攻擊者通過發送大量的數據到服務器,占用服務資源。從而達到阻止其他用戶的訪問。
如果黑客使用JavaScript的DDoS攻擊,那么任何一臺計算機都可能成為肉雞,使潛在的攻擊量幾乎是無限的。
- Javascript實現DDos攻擊原理分析
現在網站的交互性都是通過JavaScript來實現的。通過添加JavaScript直接插入HTML元素,或通過遠程來加載JavaScript。瀏覽器會讀取script標簽中的src屬性并運行它所指向的腳本,其實不只是script標簽可以用來攻擊,簡單來說只要是可以跨域訪問的標簽,如img,link等都可以實現DDos攻擊。
既然這些標簽可以訪問外站的資源,那么我們是不是就可以設個定時器無限訪問這個網站,從而達到攻擊呢,那是肯定的。
- 最終DDos攻擊手法
如果只是一臺電腦進行攻擊,那也造不成什么危害,除非是對方網站根本沒有對網站進行安全保護,現在大部分網站都有用CDN來隱藏真實的ip,并且這些網站大部分也有防DDos攻擊,很多網站也會設置網站黑名單,如果一臺計算機在一段時間內不斷訪問的話,那么就很有可能被加入黑名單。那么難道就沒有辦法了嗎。
自然不是,只要你開放網站,黑客就有辦法攻擊,當然也要看那個黑客的技術了。
現在的網站幾乎都使用了JavaScript的庫。為了節省帶寬,提高性能,很多網站都通過第三方的網站托管服務,來加載這些js庫。如果這些第三方網站的js庫中存在惡意代碼的話,很有可能被利用,一些牛逼的黑客可以通過破解這些第三方網站的后臺,修改腳本。如果用戶訪問這個網站的話就會下載這些腳本并執行,這些用戶的計算機就會變成肉雞,如果這個網站訪問量比較大的話,那么就。。。
簡單來說就是通過訪問量較大的網站攻擊目標網站。
- 保護措施
為了解決這個問題,W3C提出了一個新的功能叫做子資源的完整性,你可以告訴瀏覽器如果它不符合你期望的運行腳本,通過使用加密哈希。它就像一個指紋:只有兩個文件具有相同的哈希,那么才能被匹配,當用戶的計算機下載這些腳本后,瀏覽器會計算其哈希,如果與預期的不匹配,那么就說明這些腳本已經被篡改,瀏覽器將不會執行這個腳本。
原先我們是這樣引用腳本的
<script src="http://www.xxx.com/xxx.js"></script>現在的做法
<script src="http://www.xxx.com/xxx.js" integrity="sha384-hK8q2gkBjirpIGHAH+sgqYMv6i6mfx2JVZWJ50jyYhkuEHASU6AS1UTWSo32wuGL" crossorigin="anonymous">
integrity:哈希值
crossorigin:是為了保證瀏覽器的同源策略的正確實施,防止跨站腳本(XSS)攻擊
生成哈希值的網站:www.srihash.org
文章列表
留言列表
