V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
megoo
V2EX  ›  程序员

劫持 js 如何做到?

  •  
  •   megoo · 2015-03-30 09:41:36 +08:00 · 5405 次点击
    这是一个创建于 3508 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在路由器检测http请求,如何请求的是xx.js,不去站点下载xx.js,可以直接把路由器本地的bbb.js发送过去?
    路由器对每个http请求做扫描检测,是否要加大路由器的性能开销呢?

    被GitHub用弹出JS警告alert()防住
    如在访问baiduxxx.js时,返回的是bbbb.js,里面有向github发送请求的代码,这就是ddos原理了么?
    但是github如何检测出这个 请求是攻击,而不是正常的请求呢?
    github直接禁止http refer非空的的请求么? 这也太凶残了吧?

    14 条回复    2015-03-30 23:56:13 +08:00
    Slienc7
        1
    Slienc7  
       2015-03-30 09:45:38 +08:00 via Android
    简单的方法是路由器上装个nginx,要劫持的域名指向路由器,然后nginx端设置。当然这么做开销太大...
    youxiachai
        2
    youxiachai  
       2015-03-30 10:13:28 +08:00
    国家节点的出口路由...性能不算什么问题...这种攻击几乎没什么可复制性.

    因为毕竟这是国家级资源

    弹框的防住.因为这次攻击的是某两个github repo..
    padthai
        3
    padthai  
       2015-03-30 10:40:39 +08:00
    现在这些攻击不单纯是个人行为

    ddos是要花钱的

    属于伤低1000自损100

    根本不是个人行为
    kslr
        4
    kslr  
       2015-03-30 10:57:13 +08:00
    =.= 搜索一下就知道了,满屏都是你帖子.
    megoo
        5
    megoo  
    OP
       2015-03-30 11:09:08 +08:00
    @padthai 自己没有损失吧?
    chenqing663
        6
    chenqing663  
       2015-03-30 12:53:32 +08:00   ❤️ 1
    首先,js的劫持或者替换是http层面的事情,一般来说都一个旁路设备接收分光过来得流量,将这个js请求的内容进行内容替换就可以了。
    还有另外一种就是先劫持DNS,这样请求的js文件都到了非源站的服务器上,虽然看起来都很正常。。。
    sneezry
        7
    sneezry  
       2015-03-30 12:55:05 +08:00
    @padthai
    @megoo

    这种借刀杀人的方法自己的损失好像还真不算大
    palxex
        8
    palxex  
       2015-03-30 14:24:36 +08:00
    前两天攻击那阵,你访问被借刀杀的那两个URI直接返回的就是alert,根本不管是否正常访问。现在还是独角兽状态。
    jyootai
        9
    jyootai  
       2015-03-30 16:59:03 +08:00
    楼主一天发了我一个月发的帖子量==
    kxmp
        10
    kxmp  
       2015-03-30 17:10:06 +08:00
    dpi这么多年了,你咋不想想他到底开销多大...
    janxin
        11
    janxin  
       2015-03-30 17:20:35 +08:00
    改dns record不就行了
    Eleutherios
        12
    Eleutherios  
       2015-03-30 17:42:12 +08:00 via iPhone
    @chenqing663 这次应该是前者
    learnshare
        13
    learnshare  
       2015-03-30 18:01:05 +08:00
    拥有最大用户覆盖和带宽的点上才能做这种劫持,所以你懂的
    dndx
        14
    dndx  
       2015-03-30 23:56:13 +08:00
    不用 SSL/TLS ,如何阻止别人做到?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1396 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:42 · PVG 07:42 · LAX 15:42 · JFK 18:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.