基于JavaScript的DDoS的攻防介绍
Posted klmyoil
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了基于JavaScript的DDoS的攻防介绍相关的知识,希望对你有一定的参考价值。
预备知识
随着Web技术的发展,javascript作为一种注重交互性的客户端运行脚本,在网站开发过程中使用的越来越普遍。JavaScript是一种基于对象和事件驱动,并具有安全性的脚本语言。它与html,CSS结合起来,用于增强功能,并提高与最终用于之间的交互性能。JavaScript代码是解释型的,不需要编译,而是作为HTML文件的一部分由解释器解释执行。目前,基本上所有的浏览器都内置JavaScript的解释器。
分布式拒绝服务攻击(DDoS)始终是网络安全领域一项经久不衰的话题。发动DDoS攻击的设备、协议、原理多种多样。。发动DDoS攻击有两个必要条件,一是能够发出攻击流量,具备向目标发送网络数据包的能力。二是攻击流量要足够大。JavaScript脚本灵活,功能丰富,它能够满足条件一。同时,我们在本实验中会介绍一种通过劫持第三方资源服务器来发动DDoS的攻击模式,从而使足够大的攻击流量的产生成为可能。
今天我们就介绍基于JavaScript的DDoS攻击方式。这种借助攻击方式很灵活,因为JavaScript脚本具备完整的构造和发送HTTP请求包的能力,它属于应用层的DDoS。
实验目的
1)了解JavaScript能被DDoS攻击利用的原理
2)掌握利用JavaScript实现DDoS攻击的一种典型模式
3)掌握防御该类型DDoS攻击的方法原理
实验步骤一
使用JavaScript发送HTTP包
进入客户端主机(Client 10.1.1.23)桌面上的实验目录,右键“打开方式”选择使用记事本打开文件jsddos_1.html,观察文件中的JavaScript脚本内容:
这是一段非常简单的利用JavaScript来进行拒绝服务攻击的演示代码。使用JavaScript的setInterval函数来设定定时任务,每隔10毫秒执行一次ddos_img函数。而ddos_img函数的作用是构造一个发向目标站点的URL请求,迫使目标网站做出响应。仅仅通过这个演示代码是无法体现DDoS效果的,实际案例中,攻击者要根据目标网站的资源特点,选择能消耗目标最大带宽或最大性能的URL,加上配合大量分布结点的共同发起流量,这样才更具有针对性,才可能真正达到DDoS的效果。
我们运行Fidder抓包软件,然后打开上面的页面,观察运行效果:
可以看到,访问该页面后,浏览器向目标网站发送大量HTTP请求。在实际攻防案例中,被攻击者盯上的网站一般都会有一定的防护措施。如果我们无法给恶意构造的页面带来巨大的访问量,那么打过去的流量对于目标网站来说真是形同玩具。所以,页面构造好后,能使大量主机同时请求访问才是关键。下一步实验我们演示一种典型的攻击利用思路,并演示其DDoS效果。
实验步骤二
劫持第三方资源服务器以增强DDoS攻击
在实际的网站开发过程中,并不是所有网站都将JavaScript存储于本地。一些通用的JavaScript脚本往往会通过第三方服务器获得,这种方式将会为网站节约部分带宽,提高服务性能。所以就存在着这样一种第三方服务器,上面存储有JavaScrpt脚本供各类网站调用。
如果攻击者入侵了这种第三方服务器,并篡改具有巨大调用量的JavaScript脚本文件,向其中插入恶意攻击代码,这样凡是调用该脚本的主机,都会执行恶意代码,向被害节点发送大量数据包,从而增强DDoS攻击效果。
我们首先查看实验示例代码jsddos_2.html,在这个代码中可以发现,网页引用了一个来自外部第三方服务器的JavaScript脚本文件:(在本实验中,我们用ip地址为10.1.1.189的主机来模拟第三方服务器)
网页所引用的test.js文件原执行正常脚本功能,我们现在去所在服务器将其做修改。
登录测试主机(Test 10.1.1.189),点击桌面上的hfs程序图标。打开后程序界面如下图所示:
这是一个简单的基于HTTP协议的文件服务器,对外提供了test.js文件供调用(文件URL为http://10.1.1.189:8080/test.js)。test.js文件在桌面上,使用记事本打开后发现它是一个只有注释的空指令文件:
这时我们想到,既然test.js存放在这个第三方公共服务器上供别人下载使用,如果我们此时向其中加入恶意攻击代码,则凡是下载到该脚本文件的用户,都将不知情的向目标主机发动恶意攻击。一个DDoS攻击就自然而然形成了。
编辑test.js文件,加入步骤一中所演示用的攻击代码,修改test.js文件内容如下:
返回客户端主机(10.1.1.23),使用浏览器访问jsddos_2.html文件,在Fiddler中可以看到浏览器开始向攻击目标主机发送大量HTTP请求包。
这就说明,我们通过修改第三方服务器上的脚本文件,间接使得客户端主机加入到了DDoS的攻击队伍中。
所以,只要我们劫持了一台存储JavaScript脚本的服务器,随着客户端访问脚本的数目增加,被攻击服务器将承受越来越多的流量攻击伤害。事实上,我们上边所演示的过程,并非严格意义上的分布式拒绝服务攻击。所谓分布式,需要来自不同IP的多主机同时向目标服务器发动攻击,本实验只是通过一台主机模拟其效果。
上边所演示的攻击过程其实非常简单,其最重要的是它包含了一个完整的通过劫持第三方JavaScript服务器来构建大规模DDoS攻击的典型模式,其示意图如下:
以上是关于基于JavaScript的DDoS的攻防介绍的主要内容,如果未能解决你的问题,请参考以下文章