QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

浅谈 JS DDoS 攻击原理与防御

  • 2015-05-14
  • 本文字数:1579 字

    阅读完需:约 5 分钟

分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击。 Nick Sullivan 是网站加速和安全服务提供商 CloudFlare 的一名系统工程师。近日,他撰文介绍了攻击者如何利用恶意网站、服务器劫持和中间人攻击发起DDoS 攻击,并说明了如何使用HTTPS 以及即将到来的名为“子资源一致性(Subresource Integrity,简称SRI)”的Web 新技术保护网站免受攻击。

现代网站的大部分交互都来自于JavaScript。网站通过直接向HTML 中添加JavaScript 代码或者通过HTML 元素 <script src="">从远程位置加载 JavaScript 实现交互功能。JavaScript 可以发出 HTTP(S) 请求,实现网页内容异步加载,但它也能将浏览器变成攻击者的武器。例如,下面的代码可以向受攻击网站发出洪水般的请求:

复制代码
function imgflood() {
var TARGET = 'victim-website.com'
var URI = '/index.php?'
var pic = new Image()
var rand = Math.floor(Math.random() * 1000)
pic.src = 'http://'+TARGET+URI+rand+'=val'
}
setInterval(imgflood, 10)

上述脚本每秒钟会在页面上创建 10 个 image 标签。该标签指向“victim-website.com”,并带有一个随机查询参数。如果用户访问了包含这段代码的恶意网站,那么他就会在不知情的情况下参与了对“victim-website.com”的 DDoS 攻击,如下图所示:

许多网站都使用一套通用的 JavaScript 库。为了节省带宽及提高性能,它们会使用由第三方托管的 JavaScript 库。jQuery 是 Web 上最流行的 JavaScript 库,截至2014 年大约30% 的网站都使用了它。其它流行的库还有 Facebook SDK Google Analytics 。如果一个网站包含了指向第三方托管 JavaScript 文件的 script 标签,那么该网站的所有访问者都会下载该文件并执行它。如果攻击者攻陷了这样一个托管 JavaScript 文件的服务器,并向文件中添加了 DDoS 代码,那么所有访问者都会成为 DDoS 攻击的一部分,这就是服务器劫持,如下图所示:

这种攻击之所以有效是因为 HTTP 中缺少一种机制使网站能够禁止被篡改的脚本运行。为了解决这一问题,W3C 已经提议增加一个新特性子资源一致性。该特性允许网站告诉浏览器,只有在其下载的脚本与网站希望运行的脚本一致时才能运行脚本。这是通过密码散列实现的,代码如下:

复制代码
<script src="<a href="https://code.jquery.com/jquery-1.10.2.min.js">https://code.jquery.com/jquery-1.10.2.min.js"</a>
        integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg="
        crossorigin="anonymous">

密码散列可以唯一标识一个数据块,任何两个文件的密码散列均不相同。属性 integrity 提供了网站希望运行的脚本文件的密码散列。浏览器在下载脚本后会计算它的散列,然后将得出的值与 integrity 提供的值进行比较。如果不匹配,则说明目标脚本被篡改,浏览器将不使用它。不过,许多浏览器目前还不支持该特性, Chrome Firefox 正在增加对这一特性的支持。

中间人攻击是攻击者向网站插入恶意JavaScript 代码的最新方式。在通过浏览器访问网站时,中间会经过许多节点。如果任意中间节点向网页添加恶意代码,就形成了中间人攻击,如下图所示:

加密技术可以彻底阻断这种代码注入。借助HTTPS,浏览器和Web 服务器之间的所有通信都要经过加密和验证,可以防止第三者在传输过程中修改网页。因此,将网站设为HTTPS-only,并保管好证书以及做好证书验证,可以有效防止中间人攻击。

回复网友评论时,Nick 指出,SRI 和HTTPS 是相辅相成的,二者同时使用可以为网站提供更好的保护。除了上述方法外,采用一些防DDoS 安全产品来加强防护也是一种选择。


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-05-14 07:135823
用户头像

发布了 1008 篇内容, 共 407.2 次阅读, 收获喜欢 345 次。

关注

评论

发布
暂无评论
发现更多内容

提供方耗时正常,调用方毛刺频频

京东科技开发者

观测云产品更新 | 场景图表、基础设施、监控告警策略等

观测云

产品迭代

Cocktail for Mac(系统清理)注册激活码

Rose

学校新来了一位AI作文老师:能看、会评、还教改写

百度Geek说

智能体 百度飞桨 #大模型 文心一言4.0

KAG 技术实践分享|信创环境下实现高效知识图谱抽取

可信AI进展

Adobe Bridge 2024下载,Br2024中文破解版

Rose

彻底改变你的代码:JavaScript linter—Oxlint

京东科技开发者

Axure RP 11:交互设计新高度,打造极致用户体验!

Rose

阿里巴巴商品详情数据接口(alibaba.item_get)丨阿里巴巴API实时接口指南

tbapi

阿里巴巴API接口 阿里巴巴商品详情接口

小间距LED屏发展特点和市场趋势解析

Dylan

技术 LED显示屏 全彩LED显示屏 led显示屏厂家

AI智能体开发框架及特点

北京木奇移动技术有限公司

AI智能体 软件外包公司 AI口语练习

数学计算软件 Wolfram Mathematica for Mac 中文详细安装包

Rose

PDF编辑软件 Acrobat Pro DC 2019 for Mac中文激活版

Rose

在Unity中训练智能体

北京木奇移动技术有限公司

AI应用 AI智能体 软件外包公司

喜报!MIAOYUN再获国家高新技术企业认定

MIAOYUN

云原生 信创 高新企业 高新技术企业 高企认定

数据安全标准合辑之「检测评估类」(附下载)

极盾科技

中国铁设:构筑业财深度融合下风险实时感知与智能预测新模式

用友智能财务

企业 合同 财务

多校加速人工智能通识课程落地,和鲸Heywhale重磅上线课程+平台+资源一体化解决方案

ModelWhale

Spring 应用合并之路(二):峰回路转,柳暗花明

京东科技开发者

OmniOutliner 5 Pro:项目管理利器,高效规划每一步!

Rose

如何用Chat GPT打造爆款Listing

kookeey代理严选

代理IP 跨境电商 ChatGPT ChatGPT4 亚马逊运营

数据安全标准合辑之「实施指南类」(附下载)

极盾科技

浅谈JS DDoS攻击原理与防御_安全_谢丽_InfoQ精选文章