|DDoS攻击| |JavaScript|

浅谈基于JavaScript的DDOS攻击

发布时间:2015-05-06 11:13 作者:cindy 来源:FreeBuf.COM 点击:加载中...次

CloudFlare通过对上百万个网站进行防护，总结出最古老、最普遍的攻击非DDoS攻击莫属。在传统的DDoS攻击中，攻击者会控制大量的傀儡机，然后向目标服务器发送大量请求，阻止合法用户访问网站。

然而，最近几年DDoS攻击技术不断推陈出新：攻击者用一种新型且很有趣的方式欺骗用户参与到攻击活动中。去年CloudFlare就见证了一次使用NTP映射的攻击，可能是DDoS攻击史上最大的一次攻击(大于400Gbps)。

今年的DDoS攻击又出现了一个新的攻击趋势：使用恶意的JavaScript欺骗用户参与DDoS攻击。

NTP或者DNS映射攻击造成的后果受到傀儡服务器数量的限制，同时攻击流量也受傀儡服务器容量的限制。随着时间的推移，服务器会不断的更新补丁，能被攻击者利用的服务器数量也在不断的减少。而基于JavaScript的DDOS攻击有一个非比寻常的特点：任何有浏览器的设备都可能参与攻击，其潜在攻击规模接近无限。

　　基于JavaScript的DDOS攻击原理

现代网站的交互作用大多数都是采用JavaScript。JavaScript脚本可直接注入HTML中，或者通过<script src=""> HTML从远程服务器载入。

Web2.0的出现使得网站可以从JavaScript中加载不同步的内容(content asynchronously)。Web2.0更注重交互性，用户在发布内容的过程中不仅实现了与网络服务器之间的交互，也实现了同一网站不同用户之间的交互，以及不同网站之间信息的交互。然而从JavaScript中制造出HTTP(S)请求会使浏览器使用起来更加的有趣，甚至还可以将浏览器变成一种攻击武器。

例如，下面的脚本(略有修改)就会向受害网站发送大量的请求：

该脚本会在目标网页上生成一个图片按钮，图片按钮会指向“victim-website.com” 网站。只要用户访问了含有该脚本的网页，那么他就会成为 “victim-website.com”DDoS攻击中的一员。浏览器发出的每一个请求都是有效请求，于是该攻击又变成了Layer 7 攻击。

　　FreeBuf百科：应用层攻击

攻击者发送大量的数据包或利用服务器应用的漏洞等，饱和服务器的资源，造成DDOS攻击，该类漏洞往往不需要大量的肉鸡。应用层DDOS攻击的列子包括Slowloris、Apache、Windwos、OpenBSD等的漏洞。如ModSecurity 空指针间接引用远程拒绝服务漏洞(CVE-2013-2765)，攻击者可以利用该漏洞使Apache Web服务器崩溃。

如果攻击者在一个网站中嵌入了恶意JavaScript脚本，那么该网站的每一个访客都将成为DDoS攻击中的一员。网站流量越高就意味着DDoS越严重。

　　入侵共享JavaScript的第三方服务器

许多网站使用的都是普通的JavaScript库，为了节约带宽、提升性能，通常还会将JavaScript脚本共享在第三方服务器上。也就是说如果网站上包含有指向第三方服务器的脚本标签，就意味着所有访问该网站的用户都将自动下载JavaScript脚本，并执行。不幸的是，如果攻击者入侵了该第三方服务器并在JavaScript脚本中注入了DDoS攻击代码，那结果可想而知了，所有的访客也将变成DDoS攻击中的一员。