浅谈利用JavaScript进行的DDoS攻击原理与防御

分布式拒绝服务攻击（DDoS）攻击是一种针对网站发起的最古老最普遍的攻击。Nick Sullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师。近日，他撰文介绍了攻击者如何利用恶意网站、服务器劫持和中间人攻击发起DDoS攻击，并说明了如何使用HTTPS以及即将到来的名为“子资源一致性（Subresource Integrity，简称SRI）”的Web新技术保护网站免受攻击。

现代网站的大部分交互都来自于Javascript。网站通过直接向HTML中添加Javascript代码或者通过HTML元素从远程位置加载Javascript实现交互功能。Javascript可以发出HTTP(S)请求，实现网页内容异步加载，但它也能将浏览器变成攻击者的武器。例如，下面的代码可以向受攻击网站发出洪水般的请求：

  function imgflood() { 
   var TARGET = 'victim-website.com'
   var URI = '/index.php&＃63;'
   var pic = new Image()
   var rand = Math.floor(Math.random() * 1000)
   pic.src = 'http://'+TARGET+URI+rand+'=val'
  }
  setInterval(imgflood, 10)

上述脚本每秒钟会在页面上创建10个image标签。该标签指向“victim-website.com”，并带有一个随机查询参数。如果用户访问了包含这段代码的恶意网站，那么他就会在不知情的情况下参与了对“victim-website.com”的DDoS攻击，如下图所示：

许多网站都使用一套通用的Javascript库。为了节省带宽及提高性能，它们会使用由第三方托管的Javascript库。jQuery是Web上最流行的Javascript库，截至2014年大约30%的网站都使用了它。其它流行的库还有Facebook SDK、Google Analytics。如果一个网站包含了指向第三方托管Javascript文件的script标签，那么该网站的所有访问者都会下载该文件并执行它。如果攻击者攻陷了这样一个托管Javascript文件的服务器，并向文件中添加了DDoS代码，那么所有访问者都会成为DDoS攻击的一部分，这就是服务器劫持，如下图所示：

这种攻击之所以有效是因为HTTP中缺少一种机制使网站能够禁止被篡改的脚本运行。为了解决这一问题，W3C已经提议增加一个新特性子资源一致性。该特性允许网站告诉浏览器，只有在其下载的脚本与网站希望运行的脚本一致时才能运行脚本。这是通过密码散列实现的，代码如下：

  

加密技术可以彻底阻断这种代码注入。借助HTTPS，浏览器和Web服务器之间的所有通信都要经过加密和验证，可以防止第三者在传输过程中修改网页。因此，将网站设为HTTPS-only，并保管好证书以及做好证书验证，可以有效防止中间人攻击。
在回复网友评论时，Nick指出，SRI和HTTPS是相辅相成的，二者同时使用可以为网站提供更好的保护。除了上述方法外，采用一些防DDoS安全产品来加强防护也是一种选择。