DDos介紹

最普遍的攻擊是對網站進行分布式拒絕服務（DDoS）攻擊。在一個典型的DDoS攻擊中，攻擊者通過發送大量的數據到服務器，占用服務資源。從而達到阻止其他用戶的訪問。

如果黑客使用JavaScript的DDoS攻擊，那么任何一臺計算機都可能成為肉雞，使潛在的攻擊量幾乎是無限的。

Javascript實現DDos攻擊原理分析

現在網站的交互性都是通過JavaScript來實現的。通過添加JavaScript直接插入HTML元素，或通過遠程來加載JavaScript。瀏覽器會讀取script標簽中的src屬性并運行它所指向的腳本，其實不只是script標簽可以用來攻擊，簡單來說只要是可以跨域訪問的標簽，如img，link等都可以實現DDos攻擊。

既然這些標簽可以訪問外站的資源，那么我們是不是就可以設個定時器無限訪問這個網站，從而達到攻擊呢，那是肯定的。

最終DDos攻擊手法

如果只是一臺電腦進行攻擊，那也造不成什么危害，除非是對方網站根本沒有對網站進行安全保護，現在大部分網站都有用CDN來隱藏真實的ip，并且這些網站大部分也有防DDos攻擊，很多網站也會設置網站黑名單，如果一臺計算機在一段時間內不斷訪問的話，那么就很有可能被加入黑名單。那么難道就沒有辦法了嗎。

自然不是，只要你開放網站，黑客就有辦法攻擊，當然也要看那個黑客的技術了。

現在的網站幾乎都使用了JavaScript的庫。為了節省帶寬，提高性能，很多網站都通過第三方的網站托管服務，來加載這些js庫。如果這些第三方網站的js庫中存在惡意代碼的話，很有可能被利用，一些牛逼的黑客可以通過破解這些第三方網站的后臺，修改腳本。如果用戶訪問這個網站的話就會下載這些腳本并執行，這些用戶的計算機就會變成肉雞，如果這個網站訪問量比較大的話，那么就。。。

簡單來說就是通過訪問量較大的網站攻擊目標網站。

保護措施

為了解決這個問題，W3C提出了一個新的功能叫做子資源的完整性，你可以告訴瀏覽器如果它不符合你期望的運行腳本,通過使用加密哈希。它就像一個指紋：只有兩個文件具有相同的哈希，那么才能被匹配，當用戶的計算機下載這些腳本后，瀏覽器會計算其哈希，如果與預期的不匹配，那么就說明這些腳本已經被篡改，瀏覽器將不會執行這個腳本。

原先我們是這樣引用腳本的

<script src="http://www.xxx.com/xxx.js"></script>

現在的做法

<script src="http://www.xxx.com/xxx.js" integrity="sha384-hK8q2gkBjirpIGHAH+sgqYMv6i6mfx2JVZWJ50jyYhkuEHASU6AS1UTWSo32wuGL" crossorigin="anonymous"><br><br>integrity：哈希值<br>crossorigin：是為了保證瀏覽器的同源策略的正確實施，防止跨站腳本（XSS）攻擊<br><br>生成哈希值的網站：www.srihash.org

以上就是本文的全部內容，希望本文的內容對大家的學習或者工作能帶來一定的幫助，同時也希望多多支持VeVb武林網！