分散式拒絕服務攻擊(DDoS)攻擊是一種針對網站發動的最古老最普遍的攻擊。 Nick Sullivan是網站加速與安全服務供應商CloudFlare的系統工程師。近日,他撰文介紹了攻擊者如何利用惡意網站、伺服器劫持和中間人攻擊發起DDoS攻擊,並說明瞭如何使用HTTPS以及即將到來的名為「子資源一致性(Subresource Integrity,簡稱SRI)」的Web新技術保護網站免受攻擊。
現代網站的互動大多來自JavaScript。網站透過直接在HTML中加入JavaScript程式碼或透過HTML元素
function imgflood() { var TARGET = 'victim-website.com' var URI = '/index.php?' var pic = new Image() var rand = Math.floor(Math.random() * 1000) pic.src = 'http://'+TARGET+URI+rand+'=val' } setInterval(imgflood, 10)
上述腳本每秒鐘會在頁面上建立10個image標籤。該標籤指向“victim-website.com”,並帶有一個隨機查詢參數。如果使用者造訪了包含這段程式碼的惡意網站,那麼他就會在不知情的情況下參與了對「victim-website.com」的DDoS攻擊,如下圖所示:
許多網站都使用一套通用的JavaScript程式庫。為了節省頻寬及提高效能,它們會使用由第三方託管的JavaScript程式庫。 jQuery是Web上最受歡迎的JavaScript庫,截至2014年大約30%的網站都使用了它。其它流行的庫還有Facebook SDK、Google Analytics。如果網站包含了指向第三方託管JavaScript檔案的script標籤,那麼該網站的所有訪客都會下載該檔案並執行它。如果攻擊者攻陷了這樣一個託管JavaScript檔案的伺服器,並在檔案中加入了DDoS程式碼,那麼所有訪客都會成為DDoS攻擊的一部分,這就是伺服器劫持,如下圖所示:
這種攻擊之所以有效是因為HTTP中缺少一種機制使網站能夠禁止被篡改的腳本運行。為了解決這個問題,W3C已經提議增加一個新特性子資源一致性。該特性允許網站告訴瀏覽器,只有在其下載的腳本與網站希望運行的腳本一致時才能運行腳本。這是透過密碼雜湊實現的,程式碼如下:
<script src="https://code.jquery.com/jquery-1.10.2.min.js" integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" crossorigin="anonymous">
密碼雜湊可以唯一識別一個資料塊,任何兩個檔案的密碼雜湊均不相同。屬性integrity提供了網站希望運行的腳本檔案的密碼雜湊。瀏覽器在下載腳本後會計算它的雜湊,然後將得出的值與integrity提供的值進行比較。如果不匹配,則說明目標腳本被竄改,瀏覽器將不使用它。不過,許多瀏覽器目前還不支援該特性,Chrome和Firefox正在增加對此特性的支援。
中間人攻擊是攻擊者向網站插入惡意JavaScript程式碼的最新方式。透過瀏覽器造訪網站時,中間會經過許多節點。如果任一中間節點在網頁上加入惡意程式碼,就形成了中間人攻擊,如下圖所示:
加密技術可以徹底阻斷這種程式碼注入。借助HTTPS,瀏覽器和Web伺服器之間的所有通訊都要經過加密和驗證,可以防止第三者在傳輸過程中修改網頁。因此,將網站設為HTTPS-only,並保管好證書以及做好證書驗證,可以有效防止中間人攻擊。
回覆網友評論時,Nick指出,SRI和HTTPS是相輔相成的,二者同時使用可以為網站提供更好的保護。除了上述方法外,採用一些防DDoS安全產品來加強防護也是一種選擇。