Với sự phát triển của công nghệ trong mọi lĩnh vực, khả năng mất dữ liệu và tấn công mạng cũng được cải thiện. Các công nghệ mới đóng một vai trò quan trọng trong lĩnh vực phát triển đạo đức và theo cách tương tự, những công nghệ này cũng có thể được sử dụng để thực hiện các hành động phi đạo đức một cách chính xác và dễ dàng hơn. Một cuộc tấn công như vậy mà hacker có thể thực hiện là “ Từ chối dịch vụ (CWE-400) ”.
Hướng dẫn này giải thích quy trình ngăn chặn việc từ chối dịch vụ CWE-400 trong máy chủ HTTP Nodejs.
Từ chối dịch vụ của máy chủ HTTP (CWE-400) là gì?
Từ chối dịch vụ (CWE-400) là nỗ lực của kẻ tấn công nhằm làm cho ứng dụng không khả dụng đối với người dùng ban đầu bằng cách làm tràn ngập ứng dụng với lưu lượng bot. Cuộc tấn công này cũng được thực hiện bằng cách khai thác các lỗ hổng thường trú của ứng dụng để làm cho ứng dụng chạy chậm hơn nhiều.
Các ứng dụng Node Js có dễ bị tấn công độc hại không?
Có, các ứng dụng Node.js có thể dễ bị tấn công độc hại giống như bất kỳ phần mềm hoặc ứng dụng nào khác. Dưới đây là một số loại tấn công độc hại phổ biến và phổ biến nhất:
-
- Sự từ chối của dịch vụ tấn công
- Tấn công tiêm chích
- Tấn công tập lệnh chéo trang (XSS)
- Tấn công chiếm quyền điều khiển phiên
Làm cách nào để ngăn chặn việc từ chối dịch vụ (CWE-400) trong máy chủ HTTP Node.js?
Để ngăn chặn việc từ chối dịch vụ trong máy chủ HTTP Node.js, cần phải hạn chế số lượng yêu cầu nhận được từ một địa chỉ IP trong một khung thời gian cụ thể. Bằng cách này, lưu lượng truy cập nhận được qua ứng dụng của bạn sẽ được xử lý và cũng có nhiều phương pháp khác để giảm thiểu Từ chối dịch vụ (CWE-400) trong Node.js.
Cách 1: Sử dụng Bộ giới hạn tỷ lệ
Bộ giới hạn tốc độ là cách tiếp cận tốt nhất để ngăn chặn cụ thể cuộc tấn công Từ chối dịch vụ, vì nó có thể giới hạn số lượng yêu cầu có thể đến từ mỗi yêu cầu trên mỗi khung cửa sổ:
const expObj = yêu cầu ( 'thể hiện' ) ;const Giới hạn = yêu cầu ( 'giới hạn tốc độ nhanh' ) ;
const demoApp = expObj ( ) ;
const cusLim = Giới hạn ( {
cửa sổMs: 2 * 60 * 1000 , // mười lăm phút
tối đa: 100 ,
} ) ;
demoApp.use ( cusLim ) ;
Mô tả của đoạn mã trên như sau:
-
- Đầu tiên, cài đặt và nhập tập tin “ thể hiện ' Và ' giới hạn tốc độ nhanh ” trong dự án Node Js của bạn bằng cách sử dụng “ npm tôi
” lệnh và “ yêu cầu() ” phương pháp tương ứng.
- Đầu tiên, cài đặt và nhập tập tin “ thể hiện ' Và ' giới hạn tốc độ nhanh ” trong dự án Node Js của bạn bằng cách sử dụng “ npm tôi
-
- Tiếp theo, tạo một ứng dụng cấp tốc có tên “ ứng dụng demo ” và tạo giới hạn tốc độ bằng cách gán các giá trị bắt buộc cho “ cửa sổMs ' Và ' tối đa “thuộc tính của” giới hạn tốc độ nhanh ' sự vật.
- Các ' cửa sổMs ” đặt khoảng thời gian của cửa sổ và “ tối đa ” đặt yêu cầu tối đa có thể nhận được từ một địa chỉ IP trên mỗi cửa sổ.
- Bây giờ, hãy áp dụng “ sử dụng() ” phương pháp chứa bộ giới hạn tốc độ với “ ứng dụng demo ” để giới hạn yêu cầu mà ứng dụng “demoApp” nhận được.
Phương pháp 2: Sử dụng phương pháp hết thời gian
Các ' hết giờ ” các phương pháp như “ setTimeout() ',' tiêu đềHết thời gian chờ ',' hết thời gian yêu cầu ',' hết giờ ', Và ' keepAliveTimeout() ” được dùng để thoát hoặc kết thúc “ máy chủ http ' máy chủ. Điều này sẽ ngăn chặn Từ chối dịch vụ (CWE-400) bằng cách cung cấp khung thời gian mở tối thiểu. Ví dụ: yêu cầu đã bị xóa hoặc cửa sổ sẽ bị đóng sau “ 3 giây:
máy chủ const = http.createServer ( ( yêu cầu, độ phân giải ) = > {req.setTimeout ( 3000 ) ;
// Xử lý yêu cầu
} ) ;
Mẹo bổ sung để giảm thiểu việc từ chối dịch vụ trong Node Js
Có một số mẹo bổ sung giúp giảm thiểu tình trạng từ chối dịch vụ (CWE-400) trong máy chủ HTTP Nodejs, những mẹo này được liệt kê bên dưới:
-
- Các ' Proxy ngược ” nên được sử dụng để gửi hoặc nhận yêu cầu đến ứng dụng Node Js. Các proxy này cung cấp bộ nhớ đệm, cân bằng tải và danh sách đen IP, giúp ích rất nhiều trong việc giảm thiểu DoS (CWE-400).
- Việc sử dụng Mạng phân phối nội dung “ CDN ” giúp ngăn chặn cuộc tấn công DoS(CWE-400) bằng cách chia mã thành nhiều đoạn và tải chúng lên một cách riêng biệt trên nhiều máy chủ.
- Việc sử dụng Tường lửa ứng dụng web “ WAF ” bảo vệ ứng dụng của bạn bằng cách chặn các yêu cầu từ một nguồn độc hại đã biết.
- Việc sử dụng một “ Cân bằng tải ” chia đều tải yêu cầu trên tất cả các máy chủ, ngăn không cho một máy chủ nào bị quá tải.
Ghi chú: Bạn cũng có thể kiểm tra tài liệu xác thực của Node.js để biết thêm thông tin về Từ chối dịch vụ (CWE-400) .
Đó là tất cả về việc ngăn chặn Từ chối Dịch vụ (CWE-400) trong máy chủ HTTP Node.js.
Phần kết luận
Để ngăn chặn việc từ chối dịch vụ (CWE-400) trong Máy chủ HTTP Node.js, hãy sử dụng “ Giới hạn tỷ lệ ',' Phương pháp hết thời gian ',' Proxy ngược ',' CDN ',' WAF ' Và ' Cân bằng tải “ kỹ thuật. Họ giới hạn số lượng yêu cầu, đóng cửa sổ yêu cầu, chuyển hướng yêu cầu đến một trang web khác, chia và tải mã gốc lên nhiều máy chủ và cân bằng tải trên từng máy chủ tương ứng. Hướng dẫn nhanh này đã minh họa quy trình giảm thiểu hoặc ngăn chặn Từ chối dịch vụ (CWE-400) trong máy chủ HTTP Node.js.