淺談 JavaScript DDoS 攻擊原理與防禦

分散式拒絕服務攻擊（DDoS）攻擊是一種針對網站發起的最古老最普遍的攻擊。Nick Sullivan是網站加速和安全服務提供商CloudFlare的一名系統工程師。近日，他撰文介紹了攻擊者如何利用惡意網站、伺服器劫持和中間人攻擊發起DDoS攻擊，並說明了如何使用HTTPS以及即將到來的名為“子資源一致性（Subresource Integrity，簡稱SRI）”的Web新技術保護網站免受攻擊。

現代網站的大部分互動都來自於JavaScript。網站通過直接向HTML中新增JavaScript程式碼或者通過HTML元素<script src=”">從遠端位置載入JavaScript實現互動功能。JavaScript可以發出HTTP(S)請求，實現網頁內容非同步載入，但它也能將瀏覽器變成攻擊者的武器。例如，下面的程式碼可以向受攻擊網站發出洪水般的請求：

function imgflood() {  
  var TARGET = 'victim-website.com'
  var URI = '/index.php?'
  var pic = new Image()
  var rand = Math.floor(Math.random() * 1000)
  pic.src = 'http://'+TARGET+URI+rand+'=val'
}
setInterval(imgflood, 10)

上述指令碼每秒鐘會在頁面上建立10個image標籤。該標籤指向“victim-website.com”，並帶有一個隨機查詢引數。如果使用者訪問了包含這段程式碼的惡意網站，那麼他就會在不知情的情況下參與了對“victim-website.com”的DDoS攻擊，如下圖所示：

許多網站都使用一套通用的JavaScript庫。為了節省頻寬及提高效能，它們會使用由第三方託管的JavaScript庫。jQuery是Web上最流行的JavaScript庫，截至2014年大約30%的網站都使用了它。其它流行的庫還有Facebook SDK、Google Analytics。如果一個網站包含了指向第三方託管JavaScript檔案的script標籤，那麼該網站的所有訪問者都會下載該檔案並執行它。如果攻擊者攻陷了這樣一個託管JavaScript檔案的伺服器，並向檔案中新增了DDoS程式碼，那麼所有訪問者都會成為DDoS攻擊的一部分，這就是伺服器劫持，如下圖所示：

這種攻擊之所以有效是因為HTTP中缺少一種機制使網站能夠禁止被篡改的指令碼執行。為了解決這一問題，W3C已經提議增加一個新特性子資源一致性。該特性允許網站告訴瀏覽器，只有在其下載的指令碼與網站希望執行的指令碼一致時才能執行指令碼。這是通過密碼雜湊實現的，程式碼如下：

<script src="https://code.jquery.com/jquery-1.10.2.min.js" 
integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" 
crossorigin="anonymous">

密碼雜湊可以唯一標識一個資料塊，任何兩個檔案的密碼雜湊均不相同。屬性integrity提供了網站希望執行的指令碼檔案的密碼雜湊。瀏覽器在下載指令碼後會計算它的雜湊，然後將得出的值與integrity提供的值進行比較。如果不匹配，則說明目標指令碼被篡改，瀏覽器將不使用它。不過，許多瀏覽器目前還不支援該特性，Chrome和Firefox正在增加對這一特性的支援。

中間人攻擊是攻擊者向網站插入惡意JavaScript程式碼的最新方式。在通過瀏覽器訪問網站時，中間會經過許多節點。如果任意中間節點向網頁新增惡意程式碼，就形成了中間人攻擊，如下圖所示：

加密技術可以徹底阻斷這種程式碼注入。藉助HTTPS，瀏覽器和Web伺服器之間的所有通訊都要經過加密和驗證，可以防止第三者在傳輸過程中修改網頁。因此，將網站設為HTTPS-only，並保管好證照以及做好證照驗證，可以有效防止中間人攻擊。

在回覆網友評論時，Nick指出，SRI和HTTPS是相輔相成的，二者同時使用可以為網站提供更好的保護。除了上述方法外，採用一些防DDoS安全產品來加強防護也是一種選擇。