DDoS любого сайта с использованием заметок Facebook

    Полтора месяца назад, chr13 обнаружил способ произвести DDoS любого сайта с помощью Google Spreadsheet, а теперь же он применил такой способ в Facebook Notes. И он сработал!

    Способ эксплуатации совершенно такой же, как и в Google Spreadsheet:
    1. Сделайте список «уникальных» «картинок»
      <img src=http://targetname/file?r=1></img>
      <img src=http://targetname/file?r=2></img>
      ...
      <img src=http://targetname/file?r=1000></img>
    2. Создайте заметку через m.facebook.com. Сервис обрежет заметку после какой-то фиксированной длины
    3. Создайте несколько таких заметок под одним или несколькими пользователями. Каждая заметка будет делать 1000+ HTTP-запросов
    4. Откройте все заметки одновременно. Указанный сервер получит гору HTTP-трафика. Тысячи запросов уйдут на сервер в течение пары секунд.


    У автора получилось полностью загрузить гигабитный канал на своей VPS. В атаке было задействовано 127 серверов Facebook.
    image

    Facebook пометил проблему как «Won't fix».

    Более подробная информация на сайте автора
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 37
    • +15
      Надо fb на сам fb натравить.
      • +61
        Google vs. Facebook
        Fight!
        • +3
          рекурсивно. натравить гугл на фейсбук, а фейсбук на гугл :)
          • –4
            это не рекурсия
            • +3
              А есть вообще название для конструкций такого вида?
              foo() { bar(); }
              bar() { foo(); }
              
              • +9
                В программировании рекурсия — вызов функции (процедуры) из неё же самой, непосредственно (простая рекурсия) или через другие функции.
                • +6
                  Ну вот, поэтому в вышеприведенном комментарии как раз-таки рекурсия.
                  • –2
                    del
                    • 0
                      Я всего лишь написал, что это косвенная рекурсия, а не прямая, и только потом увидел, что ниже уже сказали :)
                • +1
                  косвенная рекурсия
                  • +2
                    переполнение стека :) рано или поздно :)
                    • +2
                      Mutual recursion.

                      С применением данной конструкции определен класс типов Eq в Haskell.
                      class Eq a where  
                          (==) :: a -> a -> Bool  
                          (/=) :: a -> a -> Bool  
                          x == y = not (x /= y)  
                          x /= y = not (x == y)  
                      
                      • +1
                        циклическая ссылка
                        • +2
                          Для конструкции такого вида даже графический символ есть :)

                          Инь-ян
                          • 0
                            infinite loop, endless loop, dead loop
                        • –3
                          о, да! deadlock
                          • 0
                            deadlock — это когда ждут друг друга, а тут идет бесконечная работа, а не ожидание
                            • 0
                              Только не понятно, livelock или starvation…
                    • +6
                      Вы так FB натравите на российских хостеров, которых роскомнадзор рекомендовал использовать — будет аргумент потом, почему не переезжаете к ним, мол, хилые они :)

                      P.S. Правда, РКН ответит в той же краткой манере — «Won't fix», и переход порекомендует с увеличенной силой.
                      • +3
                        Видимо что то не так делал. Сервер так и не упал :/
                        Кстати тысяча img не сохранилась в заметку. Получилось только 200 запихнуть. При попытке отправки текста с тысчей тегов FB выпадал с ошибкой.
                        • +3
                          Любопытно.
                          Лицокнига не превращает HTML-теги в текст?
                          • +4
                            Судя по этой теме фейсбуковский бот имеет в имени юзерагента подстроку facebookexternalhit. Можно будет проапдейтить конфиги.
                            • +1
                              Вы правы, а именно эти 2 варианта встретились мне в access.log:
                              1 — facebookexternalhit/1.1
                              2 — facebookexternalhit/1.0
                            • 0
                              А толку то с этого?
                              В наше время, когда есть сервисы типа restricted-stresser и другие (сотни их) со свободной регистрацией, каждый школьник может организовать атаку в 5-10Гбит просто откладывая деньги на обед.
                              И никто с этим не борется и бороться не собирается, так что позиция фейсбука понятна.
                              • –3
                                С этим борются на стороне того, кого ДДОсят. Ставят блокировки, пишут умные алгоритмы. Всё работает.
                                • +2
                                  Все работают :)
                                  • +2
                                    О да, проблемы DDoS в современном мире не существует.
                                    • –2
                                      Проблема комаров тоже существует.
                                      Однако это не означает, что против неё нельзя бороться с той или иной успешностью.
                                      • +6
                                        Забавно как у вас мнение меняется с «всё работает» до «бороться с той или иной успешностью».
                                        Ну давайте на примере что-ли.
                                        Дано — собственная подсеть /24, аплинк до магистрального провайдера 10Гбит, оборудование у магистральщиков вам конечно же не подконтрольно, единственный метод воздействия — BGP blackhole. На вашу подсеть начинает идти атака, занимающая всю полосу в 10Гбит, ваши действия?
                                        • +21
                                          Плакать
                                          • –2
                                            Есть способ != не существует проблемы.
                                            Работает != ликвидирует.
                                            Я не знаю, как ещё сформулировать свою мысль, чтобы вы хотя бы попытались меня понять, а не придирались к словам.

                                            Существуют механизмы защиты от DDOS-атак, защищающие от части этих атак, зависящей от сути, продуманности и качества этих механизмов.
                                            Так понятнее?
                                            • +4
                                              Так я вам конкретный пример привел, когда адекватных способов в общем-то и нет. Что у вас тут работать должно и как?
                                              К третьему комментарию вы все же пришли к выводу, что не все так радужно, как кажется — уже хорошо.
                                              Хватит полемики, я понимаю что вы с DDoS никогда сами не сталкивались и поэтому имеете весьма расплывчатое представление о том, как с этим бороться. Просто поверьте на слово — есть ситуации, когда сделать ничего нельзя, вообще.
                                            • 0
                                              Единственный вариант при таких раскладах — спрятаться за кого-то побольше, типа Incapsula или Akamai и прочими Cloudflare. Почти все подобные сервисы умеют забрать сеть клиента под защиту при помощи BGP.
                                              • 0
                                                Если речь идет о провайдере или хостере, то это не решение. Кроме того, это потребует таких денежных вливаний, что атакующий просто в итоге возьмет тебя измором. Затраты на организацию ддос-атаки и затраты на защиту от нее несоизмеримы. А для небольших компаний зачастую вообще неподъемны :(
                                                • 0
                                                  Из каких соображений «это не решение»? Из гордости? Ну-ну.
                                                  Вот как раз-таки большие анти-ддос сервисы и приближаются к тому, что стоимость защиты начинает сравниваться со стоимостью организации атаки. Создать и, главное, поддерживать большой, качественный ботнет — тоже не очень дешевое занятие. Cloudflare пару месяцев назад успешно поглотила атаку на одного из своих клиентов мощностью в 400Гбит/с, не ухудшив показатели клиентов, не находящихся под атакой. А это был один из самых «дешевых» способов организивать атаку — ntp amplification. И тем не менее, да же на такое уже есть адекватная защита.
                                                  • 0
                                                    Потому что это во-первых увеличит задержки (не знаю насколько существенно, зависит от расположения серверов, которые будут стоять на пути ддос-атаки), а во-вторых увеличит маршруты до соседних сетей.
                                                    Вот мы например находимся в жопе мира глубоко в Сибири и я подозреваю, что при таком раскладе эти проблемы предстанут во всей красе.
                                                    А по стоимости — ну, 100 баксов за 1 хост в месяц примерно. Неподъемно же, мало кто в месяц столько с одного клиента имеет.
                                    • +2
                                      «Сказ о том, как корпорации ваш малый бизнес от конкурентов избавляли».

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.