• DDos介绍

  最普遍的攻击是对网站进行分布式拒绝服务(DDoS)攻击。在一个典型的DDoS攻击中,攻击者通过发送大量的数据到服务器,占用服务资源。从而达到阻止其他用户的访问。

  如果黑客使用JavaScript的DDoS攻击,那么任何一台计算机都可能成为肉鸡,使潜在的攻击量几乎是无限的。

  • Javascript实现DDos攻击原理分析

  现在网站的交互性都是通过JavaScript来实现的。通过添加JavaScript直接插入HTML元素,或通过远程来加载JavaScript。浏览器会读取script标签中的src属性并运行它所指向的脚本,其实不只是script标签可以用来攻击,简单来说只要是可以跨域访问的标签,如img,link等都可以实现DDos攻击。

  既然这些标签可以访问外站的资源,那么我们是不是就可以设个定时器无限访问这个网站,从而达到攻击呢,那是肯定的。

  • 最终DDos攻击手法

  如果只是一台电脑进行攻击,那也造不成什么危害,除非是对方网站根本没有对网站进行安全保护,现在大部分网站都有用CDN来隐藏真实的ip,并且这些网站大部分也有防DDos攻击,很多网站也会设置网站黑名单,如果一台计算机在一段时间内不断访问的话,那么就很有可能被加入黑名单。那么难道就没有办法了吗。

  自然不是,只要你开放网站,黑客就有办法攻击,当然也要看那个黑客的技术了。

  现在的网站几乎都使用了JavaScript的库。为了节省带宽,提高性能,很多网站都通过第三方的网站托管服务,来加载这些js库。如果这些第三方网站的js库中存在恶意代码的话,很有可能被利用,一些牛逼的黑客可以通过破解这些第三方网站的后台,修改脚本。如果用户访问这个网站的话就会下载这些脚本并执行,这些用户的计算机就会变成肉鸡,如果这个网站访问量比较大的话,那么就。。。

  简单来说就是通过访问量较大的网站攻击目标网站。

  • 保护措施

  为了解决这个问题,W3C提出了一个新的功能叫做子资源的完整性,你可以告诉浏览器如果它不符合你期望的运行脚本,通过使用加密哈希。它就像一个指纹:只有两个文件具有相同的哈希,那么才能被匹配,当用户的计算机下载这些脚本后,浏览器会计算其哈希,如果与预期的不匹配,那么就说明这些脚本已经被篡改,浏览器将不会执行这个脚本。

原先我们是这样引用脚本的

<script src="http://www.xxx.com/xxx.js"></script>

现在的做法

<script src="http://www.xxx.com/xxx.js" integrity="sha384-hK8q2gkBjirpIGHAH+sgqYMv6i6mfx2JVZWJ50jyYhkuEHASU6AS1UTWSo32wuGL" crossorigin="anonymous">

integrity:哈希值
crossorigin:是为了保证浏览器的同源策略的正确实施,防止跨站脚本(XSS)攻击 生成哈希值的网站:www.srihash.org

JavaScript实现DDoS攻击原理,以及保护措施。的更多相关文章

  1. 浅谈JavaScript DDOS 攻击原理与防御

    前言 DDoS(又名"分布式拒绝服务")攻击历史由来已久,但却被黑客广泛应用.我们可以这样定义典型的DDoS攻击:攻击者指使大量主机向服务器发送数据,直到超出处理能力进而无暇处理正 ...

  2. 敌情篇 ——DDoS攻击原理

    敌情篇 ——DDoS攻击原理 DDoS攻击基础 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是 ...

  3. UDP反射DDoS攻击原理和防范

    东南大学:UDP反射DDoS攻击原理和防范 2015-04-17 中国教育网络 李刚 丁伟 反射攻击的防范措施 上述协议安装后由于有关服务默认处于开启状态,是其被利用的一个重要因素.因此,防范可以从配 ...

  4. TCP三次握手与DDOS攻击原理

    TCP三次握手与DDOS攻击原理 作者:冰盾防火墙 网站:www.bingdun.com 日期:2014-12-09   在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接. ...

  5. 浅谈JS DDoS攻击原理与防御

    分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击.Nick Sullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师.近日,他撰文介绍了攻击者如何利用恶意 ...

  6. 常见DDOS攻击原理和防御

    常见的DDOS攻击主要分为流量型攻击和cc攻击: 流量型攻击主要通过发送大量的非法报文侵占正常业务带宽 包括SYN Flood/ SYN-ACK Flood /ACK Flood/ FIN/RST F ...

  7. DDOS攻击原理及防护方法论

      从 07年的爱沙尼亚DDOS信息战,到今年广西南宁30个网吧遭受到DDOS勒索,再到新浪网遭受DDOS攻击无法提供对外服务500多分钟. DDOS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形 ...

  8. Linux安全之SYN攻击原理及其应对措施

    TCP自从1974年被发明出来之后,历经30多年发展,目前成为最重要的互联网基础协议,但TCP协议中也存在一些缺陷. SYN攻击就是利用TCP协议的缺陷,来导致系统服务停止正常的响应. SYN攻击原理 ...

  9. web安全防范之SQL注入攻击、攻击原理和防范措施

    SQL注入 攻击原理 在编写SQL语句时,如果直接将用户传入的数据作为参数使用字符串拼接的方式插入到SQL查询中,那么攻击者可以通过注入其他语句来执行攻击操作,这些攻击包括可以通过SQL语句做的任何事 ...

随机推荐

  1. vux 表单提交数据 返回后页面跳转

    ps:仅作参考

  2. 如何在腾讯云快速构建一个Wordpress个人站点

    版权声明:本文由贺嘉原创文章,转载请注明出处: 文章原文链接:https://www.qcloud.com/community/article/175 来源:腾云阁 https://www.qclou ...

  3. javamail模拟邮箱功能发送电子邮件-中级实战篇【新增附件发送方法】(javamail API电子邮件实例)

    引言: JavaMail jar包下载地址:http://java.sun.com/products/javamail/downloads/index.html 此篇是紧随上篇文章而封装出来的,阅读本 ...

  4. HDOJ-1009 FatMouse&#39; Trade

    http://acm.hdu.edu.cn/showproblem.php?pid=1009 # include <stdio.h> # include <algorithm> ...

  5. bash:xxx:command not found

    前几天在centos6.0上配好了oracle 10g并且能够执行oracle相关命令,但是今天准备往oracle里倒数据时,执行sqlplus 出现bash:command not found [o ...

  6. SM4密码算法(附源码)

    SM4是我们自己国家的一个分组密码算法,是国家密码管理局于2012年发布的.网址戳→_→:http://www.cnnic.NET.cn/jscx/mixbz/sm4/ 具体的密码标准和算法官方有非常 ...

  7. Codeforces518 D. Ilya and Escalator

    传送门:>Here< 题意:有n个人排队做电梯,每个人必须等前面的人全部上了以后才能上.对于每秒钟,有p的概率选择上电梯,(1-p)的概率选择不上电梯.现在问t秒期望多少人上电梯 解题思路 ...

  8. centos7 搭建svn服务器

    1.安装svn服务器: yum install subversion 2.配置svn服务器: 建立svn版本库根目录及相关目录即svndata及密码权限命令svnpasswd: mkdir -p /a ...

  9. qt 中的基本知识

    1. 由 .ui 文件生成界面头文件: uic -o ui_dialog.h dialog.ui 2. 在工程目录下生成与平台无关的工程文件 : qmake -project 3. 生成与平台相关的  ...

  10. C# Argument &#39;picture&#39; must be a picture that can be used as an Icon

    Scenario: 创建了一个WinForm的小程序,希望将它显示在任务栏,所以在工具栏中的“公共控件”里,拖入NotifyIcon控件—notifyIcon1,这个是程序运行任务栏右侧通知区域图标显 ...