java dos攻击_一种高级的DoS攻击-Hash碰撞攻击

最新推荐文章于 2024-05-01 02:56:49 发布
最新推荐文章于 2024-05-01 02:56:49 发布
阅读量479 收藏
点赞数
文章标签: java dos攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31141099/article/details/114078676
版权

这是迄今为止第一个让我觉得后怕的攻击方式,涉及的范围广难以防御,攻击效果立竿见影。大量的网站和Web接口都未做Hash碰撞攻击的防御,一拿一个准。

随着RESTful风格的接口普及,程序员默认都会使用json作为数据传递的方式。json格式的数据冗余少,兼容性高,从提出到现在已被广泛的使用,可以说成为了Web的一种标准。无论我们服务端使用什么语言,我们拿到json格式的数据之后都需要做jsonDecode(),将json串转换为json对象,而对象默认会存储于Hash Table,而Hash Table很容易被碰撞攻击。我只要将攻击数据放在json中,服务端程序在做jsonDecode()时必定中招,中招后CPU会立刻飙升至100%。16核的CPU,16个请求就能达到DoS的目的。

所有测试程序都在Mac Pro下进行,为了测试方便我只构造了65536条json键值对,真正发起攻击时可以构造数十万甚至百万千万的数据。

几个简单的Demo

攻击数据我已经转换为json格式

一. JavaScript测试

//只需要一行代码就能看到效果

var jsonSrc = '这里输入json数据';

我们只需要在js中输入一行代码就能看到效果,普通数据和Hash攻击数据都是65536行键值对。我本地测试的效果如下:

通过Chrome自带的任务管理器可以看出CPU马上升到100%,将近1分钟才执行完成,而普通的数据几毫秒就能执行完成;

二. PHP测试

$json = file_get_contents("https://raw.githubusercontent.com/laynefyc

最低0.47元/天 解锁文章
Victor胜利的微笑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Hash碰撞进行DoS攻击
zhaohong_bo的专栏
05-22 1862
一、哈希表碰撞攻击的基本原理 哈希表是一种查找效率极高的数据结构,很多语言都在内部实现了哈希表。PHP中的哈希表是一种极为重要的数据结构,不但用于表示Array数据类型,还在Zend虚拟机内部用于存储上下文环境信息(执行上下文的变量及函数均使用哈希表结构存储)。 理想情况下哈希表插入和查找操作的时间复杂度均为O(1),任何一个数据项可以在一个与哈希表长度无关的时间内计算出一个哈希值(key),然后...
高手对付DDoS攻击的绝招
03-03
从拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击 方式。而DdoS是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢?本文将为大家从两个方面进行介绍。
java软件攻击
yushan125的博客
03-23 676
java软件攻击
关于javaBufferedReader的read()及readLine()方法的使用心得
baidu_27101167的博客
07-09 531
关于javaBufferedReader的read()及readLine()方法的使用心得 BufferedReaderreadLine()方法是阻塞式的, 如果到达流末尾, 就返回null, 但如果client的socket末经关闭就销毁, 则会产生IO异常. 正常的方法就是使用socket.close()关闭不需要的socket. 从一个有若干行的文件中依次读取各行,处理后输出,如果用以下...
Java项目中,快速防范国外ddos攻击的很简单的常用几种方法,分享发现-分析-解决全过程
最新发布
2401_84048006的博客
05-01 651
小编在这里分享些我自己平时的学习资料,由于篇幅限制,pdf文档的详解资料太全面,细节内容实在太多啦,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!程序员代码面试指南 IT名企算法与数据结构题目最优解这是” 本程序员面试宝典!书中对IT名企代码面试各类题目的最优解进行了总结,并提供了相关代码实现。针对当前程序员面试缺乏权威题目汇总这一-痛点, 本书选取将近200道真实出现过的经典代码面试题,帮助广“大程序员的面试准备做到万无一失。“刷”完本书后,你就是“题王”!
慎用bufferedWriter的readLine()方法
凡夫编程
01-11 1171
为什么要慎用呢? BufferReader的read方法readLine方法在任何情况下都是阻塞的。readLine方法每次读一行,相对于一个字符/字节地读取、转换、返回来说,它有一个缓冲区,读满缓冲区才返回;一般情况下,都建议使用它们把其它Reader/InputStream包起来,使得读取数据更高效;对于文件来说,经常遇到一行一行的,特别符合情景。如果不指定buffer...
【代码扫描修复】DoS 拒绝服务漏洞
ACGkaka的博客
11-18 1242
如果应用程序存在 Denial Of Service(DoS)漏洞,攻击者就能阻止合法用户访问由该应用程序提供的服务。攻击者可能通过对应用程序发送大量请求,而使它拒绝对合法用户的服务,但是这种攻击形式经常会在网络层就被排除掉了。导致出现很多问题的原因之一是资源释放不当的 bug,这种 bug 会导致应用程序在运行时停止。同样的道理,当程序漏洞被利用时,服务可能会停止或者处理它使用的资源的方式。如果一项服务收到了大量的请求,那么它可能会停止向合法用户提供。修复建议:避免因流无限大,导致的死循环或内存溢出。
python实现dos攻击_Java实现简单的DoS攻击
weixin_39562197的博客
11-24 133
packagedos;importjava.net.HttpURLConnection;importjava.net.URL;importjava.net.URLConnection;importjava.util.ArrayList;importjava.util.Random;importjava.util.concurrent.ExecutorService;importjava.util....
Java-codes.rar_HASH JAVA_huffman
09-24
在给定的“Java-codes.rar_HASHJAVA_huffman”压缩包中,包含了多个与Java编程相关的示例代码,主要涉及哈夫曼编码(Huffman Coding)、快速排序(Quicksort)、哈希表(Hash)以及一种名为“q_sort”的排序算法。...
JAVA-hash-table.zip_Table_hash_hash table java_java hash 查找_哈希表设
09-20
(1) 建立一个哈希表,哈希函数为除留余数法,处理冲突的方法为线性探测再散列或二次探测再散列。 (2) 往哈希表中依次存入插入多个单词。 (3) 显示哈希表的存储情况。 (4) 计算哈希表的平均查找长度。 (5) ...
sha-1.rar_ HASH_SHA_hash_hash SHA_sha-256
09-22
用SHA算法实现对任意文件的hash摘要,并且把hash摘要值(至少为160bit)存入另一个文件,形如: hash inputfile hashvaluefile 说明:SHA算法的实现至少为160bit,或者可以选择256,384或者512的,可以查阅相关...
PHP内核探索:哈希表碰撞攻击原理
10-23
最近哈希表碰撞攻击(Hashtable collisions as DOS attack)的话题不断被提起,各种语言纷纷中招。本文结合PHP内核源码,聊一聊这种攻击的原理及实现,需要的朋友可以参考下
Java实现ddos
weixin_42608318的博客
01-18 200
DDoS(分布式拒绝服务攻击)是一种恶意攻击方式,通过大量请求导致服务器资源耗尽而无法响应正常请求,从而达到瘫痪目标服务器的目的。 使用 Java 实现 DDoS 攻击是不道德且非法的。我不会告诉你如何去实现这种攻击。 ...
面试必问网络 - dos 攻击 和 ddos 攻击是什么,如何防范
qq_43470538的博客
05-13 860
DoS(Denial of Service,拒绝服务)DoS 攻击通常由,通过向目标系统发送大量请求或特质的恶意数据包,使目标系统的资源耗尽,从而导致正常用户无法访问目标系统。常见的DoS 攻击类型包括 SYN Flood、ICMP Flood、UDP Flood 等。DDoS(Distributed Denial of Service,分布式拒绝服务)DDoS 攻击是 DoS 攻击一种升级形式,它利,使攻击更难防御和追踪。DDoS 攻击可以同时从多个方向消耗目标系统的资源,导致目标系统瘫痪。
java项目源码免费下载,HR的话扎心了
m0_56255097的博客
06-29 548
Redis简介 Redis与Memcached区别 Redis优点 Redis缺点 Redis数据类型 String Hash List Set Sorted set Redis事务 MULTI&EXEC(原子执行,并非互斥) WATCH&UNWATCH(原子执行+乐观锁) Redis分布式锁 排他锁 SETNX 带有超时特性的锁 Redis持久化机制 RDB(Redis Database,全量模式) AOF(Append Only File,增量模式) 触发方式
java常见的敏感异常
m0_67265464的博客
03-21 1421
1、java.io.FileNotFoundException:泄露文件系统结构和文件名列举 2、ava.util.jar.JarException:泄露文件系统结构 3、java.util.MissingResourceException:资源列举 4、java.security.acl.NotOwnerException:所有人列举 5、java.util.ConcurrentModificationException :可能提供线程不安全的代码信息 6、javax.naming.Insufficien
调查HashDoS问题
最佳 Java 编程
05-08 187
近一个月前,我就如何在不与供应商互动的情况下临时解决 28C3上出现的HashDoS问题或其他代码缺陷发表了一些想法。 现在是时候更深入地研究复杂性攻击并查看来源了。 我完全假设java.util.HashMap和java.util.Hashtable是受此攻击影响的最常用的Java数据结构,因此本文仅将代码集中在这些类型的后面。 哈希函数和索引数据结构的简要介绍 哈希索引数据结构...
电力系统APT攻击防护深度解析:威胁、策略与案例
电力系统防护APT攻击课题研讨深入探讨了当前电力系统面临的严峻挑战,特别是高级持续威胁(APT)攻击的风险。随着全球计算机漏洞数量的逐年增加,电力控制系统,如SCADA/HMI监控软件和PLC产品,由于其依赖于外国技术,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值