自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

利用Google爬蟲DDoS任意網(wǎng)站

作者:Taskiller編譯
安全 黑客攻防
我們可以為文件名附加上隨機(jī)參數(shù),使FeedFetcher多次抓取同一文件。也就是說(shuō),如果一個(gè)網(wǎng)站有一個(gè)10MB的文件,要是將某個(gè)特殊列表輸入到Google spreadsheet中,那么Google的爬蟲就會(huì)抓取該文件1000次。

提醒:以下內(nèi)容僅供安全測(cè)試及教學(xué)參考,禁止任何非法用途

利用Google爬蟲DDoS任意網(wǎng)站

Google的FeedFetcher爬蟲會(huì)將spreadsheet的=image(“link”)中的任意鏈接緩存。

例如:

如果我們將=image(“http://example.com/image.jpg”)輸入到任意一個(gè)Google spreadsheet中,Google就會(huì)“派出”FeedFetcher爬蟲去抓取這個(gè)圖片并保存到緩存中以將其顯示出來(lái)。

但是,我們可以為文件名附加上隨機(jī)參數(shù),使FeedFetcher多次抓取同一文件。也就是說(shuō),如果一個(gè)網(wǎng)站有一個(gè)10MB的文件,要是將以下列表輸入到Google spreadsheet中,那么Google的爬蟲就會(huì)抓取該文件1000次。

=image("http://targetname/file.pdf?r=0")
=image("http://targetname/file.pdf?r=1")
=image("http://targetname/file.pdf?r=2")
=image("http://targetname/file.pdf?r=3")
...
=image("http://targetname/file.pdf?r=1000")

附加上隨機(jī)參數(shù)后,每個(gè)鏈接都被看作是不同的鏈接,因此Google爬蟲會(huì)去抓取多次,使網(wǎng)站產(chǎn)生大量出站流量。所以任何人只需使用瀏覽器并打開一些標(biāo)簽,就可以向web服務(wù)器發(fā)動(dòng)巨大流量HTTP GET洪水攻擊。

但是這種攻擊使攻擊者根本不需要有多大的帶寬,只需要將“圖像”地址輸入進(jìn)spreadsheet,Google就會(huì)從服務(wù)器上抓取這個(gè)10MB的數(shù)據(jù),但是因?yàn)榈刂分赶蛞粋€(gè)PDF文件(非圖像文件),攻擊者從Google得到的反饋為N/A。很明顯這種類型的流量可以被放大多倍,引起的后果很可能是災(zāi)難性的。

只需要使用一臺(tái)筆記本,打開幾個(gè)web標(biāo)簽頁(yè),僅僅拷貝一些指向10MB文件的鏈接,Google去抓取同一文件的流量就超過了700Mbps。而這種600-700Mbps的抓取流量大概只持續(xù)了30-45分鐘,我就把服務(wù)器關(guān)閉了。如果沒算錯(cuò)的話,45分鐘內(nèi)大概走了240GB的流量。

利用Google爬蟲DDoS任意網(wǎng)站

我和我的小伙伴被這么高的出站流量驚呆了。如果文件再大一點(diǎn)的話,我想其出站流量可以輕易達(dá)到Gpbs級(jí),而且進(jìn)站流量也能達(dá)到50-100Mbps。可以想象如果多個(gè)攻擊者同時(shí)用這種方法攻擊某個(gè)網(wǎng)站的話,流量能有多少了。同時(shí)由于Google用會(huì)多個(gè)IP地址進(jìn)行抓取,所以也很難阻止這種類型的GET洪水攻擊,而且很容易將攻擊持續(xù)數(shù)個(gè)小時(shí),因?yàn)檫@種攻擊實(shí)在是太容易實(shí)施了。

發(fā)現(xiàn)這個(gè)bug后,我開始搜索由其產(chǎn)生的真實(shí)案例,還真發(fā)現(xiàn)了兩例:

第一起攻擊案例解釋了博主如何不小心攻擊了自己,結(jié)果收到了巨款流量賬單。另一篇文章《利用Spreadsheet作為DDoS武器》描述了另一個(gè)類似攻擊,但指出攻擊者必須先抓取整個(gè)網(wǎng)站并用多個(gè)帳戶將鏈接保存在spreadsheet中。

不過奇怪的是沒有人嘗試用附加隨機(jī)請(qǐng)求變量的方法。盡管只是目標(biāo)網(wǎng)站的同一個(gè)文件,但通過這種添加隨機(jī)請(qǐng)求變量的方法是可以對(duì)同一文件請(qǐng)求成千上萬(wàn)次的,后果還是挺嚇人的,而且實(shí)施過程很容易,任何人只需要?jiǎng)觿?dòng)手指頭拷貝一些鏈接就可以做到。

我昨天將這個(gè)bug提交給了Google,今天得到了他們的反饋,表示這不屬于安全漏洞,認(rèn)為這是一個(gè)暴力拒絕服務(wù)攻擊,不在bug獎(jiǎng)金范圍中。

也許他們事前就知道這個(gè)問題,并且認(rèn)為這不是bug?

不過即使拿不到獎(jiǎng)金,我仍希望他們會(huì)修復(fù)這個(gè)問題,由于實(shí)施門檻低,任何人都可以利用Google爬蟲發(fā)動(dòng)這種攻擊。有一種簡(jiǎn)單的修復(fù)方法,就是Google只抓取沒有請(qǐng)求參數(shù)的鏈接。希望Google早日修復(fù)這個(gè)bug,使站長(zhǎng)免受其帶來(lái)的威脅。

原文地址:http://chr13.com/2014/03/10/using-google-to-ddos-any-website/

責(zé)任編輯:藍(lán)雨淚 來(lái)源: FreeBuF
Google爬蟲DDoS洪水攻擊
相關(guān)推薦

2014-04-30 13:57:41

2015-03-02 11:08:02

2021-03-18 09:18:12

python爬蟲

2025-01-20 15:22:55

2021-12-21 23:21:16

DDOS防御安全

2017-04-06 11:12:38

JavaScriptGoogle爬蟲

2025-01-22 12:37:21

2010-09-16 20:45:14

2016-11-14 19:28:34

爬蟲GoogleGoogle Mass

2014-06-13 10:00:01

2016-10-09 10:05:32

2015-08-21 19:01:12

2018-11-30 09:30:46

aiohttp爬蟲Python

2013-10-22 09:20:20

2013-10-22 10:36:49

2012-11-27 16:35:00

2014-05-04 11:06:41

移動(dòng)網(wǎng)站移動(dòng)設(shè)計(jì)

2011-08-10 09:13:22

2013-10-23 10:20:55

2019-04-10 09:05:19

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)