¿Cómo puede alguien hacer un ataque de denegación de servicio con JavaScript?

Navega tus respuestas
1

Hace poco estuve leyendo este artículo de cloudfare sobre JavaScript Denial Of Service y yo No entendía cómo podía funcionar. Por lo que he aprendido, JavaScript es un idioma del lado del cliente y no puede interactuar con un servidor (corríjame si me equivoco, he estado programando durante un año y aún soy un n00b = 3). Intenté agregar mi giro propio . Pero A. no es efectivo (no pensé que lo sería) y B. No noté ningún cambio en el tráfico. El código real se encuentra si desea echarle un vistazo. Entiendo que no sería demasiado efectivo hacerlo incluso en JavaScript y especialmente con una computadora.

Entonces mi pregunta es, ¿cómo lo harías? Simplemente no entiendo cómo podría funcionar incluso después de leer el artículo de cloudflare y no hay mucha discusión al respecto

    
pregunta The Gamer King 11.08.2017 - 00:05
fuente

2 respuestas

2

Funciona porque es un ataque de denegación de servicio distribuido , no solo un ataque de denegación de servicio. Puede colar ese fragmento de código en una gran cantidad de páginas web que mucha gente visita (por ejemplo, incluyéndolo dentro de una biblioteca que hace algo útil que otros desarrolladores recogerán y usarán). Del artículo:

  

En septiembre de 2014, RiskIQ informó que el sitio web de jQuery.com estaba   comprometido, que alberga una biblioteca de JavaScript muy popular que podría   Han sido reemplazados fácilmente por uno malicioso. La amenaza de   los atacantes que inyectan JavaScript malicioso en millones de sitios no son   teórico más largo.

Una gran cantidad de sitios web por ahí usan jQuery u otras bibliotecas por incluyendo archivos de origen de JavaScript remotos (en lugar de hacer copias locales de los mismos; al usar la versión remota, su página web puede cargarse un poco más rápido para sus usuarios y, por supuesto, obtendrá nuevas funciones y correcciones de errores / seguridad "gratis"). Si los archivos de origen de javascript estuvieran comprometidos, todos los sitios web que los incluyeran servirían las versiones comprometidas a sus visitantes, por lo que cada uno de sus usuarios participaría en el DDoS.

El DDoS en sí mismo funciona sobrecargando el servidor web de destino con solicitudes. Imagina que estás trabajando en un restaurante de comida rápida: si una persona entra y ordena la cena, puedes hacerlo. Si toda la ciudad aparece repentinamente y comienza a gritarte órdenes, estarás demasiado abrumado para cumplir una sola orden, y mucho menos a todas.

    
respondido por el drewbenn 11.08.2017 - 01:21
fuente
0

Una gran demostración en la vida real de este ataque fue llevada a cabo por " Gran Cañón ".

Interceptó el tráfico no cifrado e insertó un pequeño script. Todo lo que hizo la secuencia de comandos fue enviar solicitudes no malintencionadas al servidor de destino. El ataque fue tan grande que se interceptaron millones de solicitudes, lo que provocó que una gran cantidad de tráfico llegara al servidor web de destino.

El servidor de destino no pudo procesar estas solicitudes y no estuvo disponible para los usuarios, lo que provocó una denegación de servicio. Dado que el tráfico abrumador provino de muchos hosts, se denomina Denegación de Servicio Distribuida.

    
respondido por el Daniel Szpisjak 12.08.2017 - 14:02
fuente

Lea otras preguntas en las etiquetas

Sistema de administración de claves HSM en AWS / Azure tokens Anti-CSFR y SQLi