久久久久在线观看_又色又爽又黄的免费视频播放_一区中文字幕_日韩电影在线播放

今日焦點 焦點資訊 營銷之道 企業報道 淘寶運營 網站建設 軟件開發 400電話
  當前位置: 首頁 » 資訊 » 網站建設 » 正文

淺談基于JavaScript的DDOS攻擊

放大字體  縮小字體 發布日期:2018-02-18  來源:新格網  作者:新格網  瀏覽次數:1000  【去百度看看】
核心提示:CloudFlare通過對上百萬個網站進行防護,總結出最古老、最普遍的攻擊非DDoS攻擊莫屬。在傳統的DDoS攻擊中,攻擊者會控制大量的傀儡機,然后向目標服務器發送大量請求,阻止合法用戶訪問網站。

DDOS攻擊 Javas<em></em>cript Javas<em></em>cript教程 中間人攻擊

CloudFlare通過對上百萬個網站進行防護,總結出最古老、最普遍的攻擊非DDoS攻擊莫屬。在傳統的DDoS攻擊中,攻擊者會控制大量的傀儡機,然后向目標服務器發送大量請求,阻止合法用戶訪問網站。

然而,最近幾年DDoS攻擊技術不斷推陳出新:攻擊者用一種新型且很有趣的方式欺騙用戶參與到攻擊活動中。去年CloudFlare就見證了一次使用NTP映射的攻擊,可能是DDoS攻擊史上最大的一次攻擊(大于400Gbps)。

今年的DDoS攻擊又出現了一個新的攻擊趨勢:使用惡意的Javascript欺騙用戶參與DDoS攻擊。

NTP或者DNS映射攻擊造成的后果受到傀儡服務器數量的限制,同時攻擊流量也受傀儡服務器容量的限制。隨著時間的推移,服務器會不斷的更新補丁,能被攻擊者利用的服務器數量也在不斷的減少。而基于Javascript的DDOS攻擊有一個非比尋常的特點:任何有瀏覽器的設備都可能參與攻擊,其潛在攻擊規模接近無限。

基于Javascript的DDOS攻擊原理

現代網站的交互作用大多數都是采用Javascript。Javascript腳本可直接注入HTML中,或者通過[ script src=""] HTML從遠程服務器載入。

Web2.0的出現使得網站可以從avascript中加載不同步的內容(content asynchronously)。Web2.0更注重交互性,用戶在發布內容的過程中不僅實現了與網絡服務器之間的交互,也實現了同一網站不同用戶之間的交互,以及不同網站之間信息的交互。然而從Javascript中制造出HTTP(S)請求會使瀏覽器使用起來更加的有趣,甚至還可以將瀏覽器變成一種攻擊武器。

例如,下面的腳本(略有修改)就會向受害網站發送大量的請求:

  • function imgflood() {
  • var TARGET = 'victim-website.com'
  • var URI = '/index.php?'
  • var pic = new Image()
  • var rand = Math.floor(Math.random() * 1000)
  • pic.src = 'http://'+TARGET+URI+rand+'=val'
  • }
  • setInterval(imgflood, 10)

該腳本會在目標網頁上生成一個圖片按鈕,圖片按鈕會指向“victim-website.com” 網站。只要用戶訪問了含有該腳本的網頁,那么他就會成為 “victim-website.com”DDoS攻擊中的一員。瀏覽器發出的每一個請求都是有效請求,于是該攻擊又變成了Layer 7 攻擊。

百科:應用層攻擊

攻擊者發送大量的數據包或利用服務器應用的漏洞等,飽和服務器的資源,造成DDOS攻擊,該類漏洞往往不需要大量的肉雞。應用層DDOS攻擊的列子包括Slowloris、Apache、Windwos、OpenBSD等的漏洞。如ModSecurity 空指針間接引用遠程拒絕服務漏洞(CVE-2013-2765),攻擊者可以利用該漏洞使Apache Web服務器崩潰。

DDOS攻擊 Javas<em></em>cript Javas<em></em>cript教程 中間人攻擊

如果攻擊者在一個網站中嵌入了惡意Javascript腳本,那么該網站的每一個訪客都將成為DDoS攻擊中的一員。網站流量越高就意味著DDoS越嚴重。

入侵共享Javascript的第三方服務器

許多網站使用的都是普通的Javascript庫,為了節約帶寬、提升性能,通常還會將Javascript腳本共享在第三方服務器上。也就是說如果網站上包含有指向第三方服務器的腳本標簽,就意味著所有訪問該網站的用戶都將自動下載Javascript腳本,并執行。不幸的是,如果攻擊者入侵了該第三方服務器并在Javascript腳本中注入了DDoS攻擊代碼,那結果可想而知了,所有的訪客也將變成DDoS攻擊中的一員。

DDOS攻擊 Javas<em></em>cript Javas<em></em>cript教程 中間人攻擊

2014年9月份的時候,jQuery就發生過這種形式的入侵。

子資源完整性簡介

通過替換第三方服務器上的Javascript展開攻擊,這是其實也是一種比較老的攻擊方式。目前HTTP還沒有相關的機制來阻止該腳本的運行,但W3C已經提出了名叫子資源完整性(SRI)的新功能,使用加密哈希值驗證腳本,如果哈希值不匹配瀏覽器可以阻止其運行。

例如,如下腳本標簽:

  • <script src="https://code.jquery.com/jquery-1.10.2.min.js">

瀏覽器會自動下載該.js文件,并且會不分青紅皂白的運行它。即使該文件中被攻擊者注入了惡意腳本,瀏覽器也不會識別。然而如果網站發現了哈希值驗證腳本不匹配,子資源完整性(SRI)會告訴瀏覽器不要運行該腳本。

  • <script src="https://code.jquery.com/jquery-1.10.2.min.js"
  •              integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg="
  •            crossorigin="anonymous"> 

建議網站管理員將添加這一標簽添加到服務器上,用以保護其用戶不被利用。

目前支持子資源完整性的瀏覽器只有Chrome和Firefox。

中間人攻擊

位于瀏覽器和服務器間的中間人可以任意修改數據,包括更改HTML內容或者Javascript腳本。而如果中間人走偏了,做了一些惡意的事情,如向頁面中添加惡意Javascript并執行,那后果一樣很嚴重 (也就是所謂的中間人攻擊)。

修改傳輸過程中的網站是ISPs和WiFi供應商獨有的技術,但如果攻擊者獲得了這一權限,他們會將傳輸過程中的腳本替換成惡意Javascript腳本。更甚的是,如果Javascript腳本中包含了DDoS腳本,那DDoS攻擊成員將會進一步的擴大。

情況還可以更糟糕一點,如果Javascript文件的傳輸路徑正好經過攻擊者的網絡,那么參與DDoS攻擊的瀏覽器和用戶的數量將會大的驚人。

DDOS攻擊 Javas<em></em>cript Javas<em></em>cript教程 中間人攻擊

總結:防御

DDOS攻擊 Javas<em></em>cript Javas<em></em>cript教程 中間人攻擊

基于Javascript的DDOS攻擊越來越頻發,防御這一攻擊的唯一方式是全面啟用HTTPS。

 
 
[ 資訊搜索 ]  [ 加入收藏 ]  [ 告訴好友 ]  [ 打印本文 ]  [ 違規舉報 ]  [ 關閉窗口 ]

 
0條 [查看全部]  相關評論

 
網站首頁 | 關于我們 | 聯系方式 | 使用協議 | 版權隱私 | 網站地圖 | 排名推廣 | 廣告服務 | 積分換禮 | 網站留言 | RSS訂閱 | 皖ICP備2021004516號-14
企業800網 · 提供技術支持