Пользователь
192,0
рейтинг
26 апреля 2014 в 23:02

Разработка → DDoS любого сайта с использованием заметок Facebook

Полтора месяца назад, chr13 обнаружил способ произвести DDoS любого сайта с помощью Google Spreadsheet, а теперь же он применил такой способ в Facebook Notes. И он сработал!

Способ эксплуатации совершенно такой же, как и в Google Spreadsheet:
  1. Сделайте список «уникальных» «картинок»
    <img src=http://targetname/file?r=1></img>
    <img src=http://targetname/file?r=2></img>
    ...
    <img src=http://targetname/file?r=1000></img>
  2. Создайте заметку через m.facebook.com. Сервис обрежет заметку после какой-то фиксированной длины
  3. Создайте несколько таких заметок под одним или несколькими пользователями. Каждая заметка будет делать 1000+ HTTP-запросов
  4. Откройте все заметки одновременно. Указанный сервер получит гору HTTP-трафика. Тысячи запросов уйдут на сервер в течение пары секунд.


У автора получилось полностью загрузить гигабитный канал на своей VPS. В атаке было задействовано 127 серверов Facebook.
image

Facebook пометил проблему как «Won't fix».

Более подробная информация на сайте автора
Влад @ValdikSS
карма
620,0
рейтинг 192,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (37)

  • +15
    Надо fb на сам fb натравить.
    • +61
      Google vs. Facebook
      Fight!
      • +3
        рекурсивно. натравить гугл на фейсбук, а фейсбук на гугл :)
        • –4
          это не рекурсия
          • +3
            А есть вообще название для конструкций такого вида?
            foo() { bar(); }
            bar() { foo(); }
            
            • +9
              В программировании рекурсия — вызов функции (процедуры) из неё же самой, непосредственно (простая рекурсия) или через другие функции.
              • +6
                Ну вот, поэтому в вышеприведенном комментарии как раз-таки рекурсия.
                • –2
                  del
                  • 0
                    Я всего лишь написал, что это косвенная рекурсия, а не прямая, и только потом увидел, что ниже уже сказали :)
            • +1
              косвенная рекурсия
            • +2
              переполнение стека :) рано или поздно :)
            • +2
              Mutual recursion.

              С применением данной конструкции определен класс типов Eq в Haskell.
              class Eq a where  
                  (==) :: a -> a -> Bool  
                  (/=) :: a -> a -> Bool  
                  x == y = not (x /= y)  
                  x /= y = not (x == y)  
              
            • +1
              циклическая ссылка
            • +2
              Для конструкции такого вида даже графический символ есть :)

              Инь-ян
            • 0
              infinite loop, endless loop, dead loop
        • –3
          о, да! deadlock
          • 0
            deadlock — это когда ждут друг друга, а тут идет бесконечная работа, а не ожидание
            • 0
              Только не понятно, livelock или starvation…
  • +6
    Вы так FB натравите на российских хостеров, которых роскомнадзор рекомендовал использовать — будет аргумент потом, почему не переезжаете к ним, мол, хилые они :)

    P.S. Правда, РКН ответит в той же краткой манере — «Won't fix», и переход порекомендует с увеличенной силой.
  • +3
    Видимо что то не так делал. Сервер так и не упал :/
    Кстати тысяча img не сохранилась в заметку. Получилось только 200 запихнуть. При попытке отправки текста с тысчей тегов FB выпадал с ошибкой.
  • +3
    Любопытно.
    Лицокнига не превращает HTML-теги в текст?
  • +4
    Судя по этой теме фейсбуковский бот имеет в имени юзерагента подстроку facebookexternalhit. Можно будет проапдейтить конфиги.
    • +1
      Вы правы, а именно эти 2 варианта встретились мне в access.log:
      1 — facebookexternalhit/1.1
      2 — facebookexternalhit/1.0
  • 0
    А толку то с этого?
    В наше время, когда есть сервисы типа restricted-stresser и другие (сотни их) со свободной регистрацией, каждый школьник может организовать атаку в 5-10Гбит просто откладывая деньги на обед.
    И никто с этим не борется и бороться не собирается, так что позиция фейсбука понятна.
    • –3
      С этим борются на стороне того, кого ДДОсят. Ставят блокировки, пишут умные алгоритмы. Всё работает.
      • +2
        Все работают :)
      • +2
        О да, проблемы DDoS в современном мире не существует.
        • –2
          Проблема комаров тоже существует.
          Однако это не означает, что против неё нельзя бороться с той или иной успешностью.
          • +6
            Забавно как у вас мнение меняется с «всё работает» до «бороться с той или иной успешностью».
            Ну давайте на примере что-ли.
            Дано — собственная подсеть /24, аплинк до магистрального провайдера 10Гбит, оборудование у магистральщиков вам конечно же не подконтрольно, единственный метод воздействия — BGP blackhole. На вашу подсеть начинает идти атака, занимающая всю полосу в 10Гбит, ваши действия?
            • +21
              Плакать
            • –2
              Есть способ != не существует проблемы.
              Работает != ликвидирует.
              Я не знаю, как ещё сформулировать свою мысль, чтобы вы хотя бы попытались меня понять, а не придирались к словам.

              Существуют механизмы защиты от DDOS-атак, защищающие от части этих атак, зависящей от сути, продуманности и качества этих механизмов.
              Так понятнее?
              • +4
                Так я вам конкретный пример привел, когда адекватных способов в общем-то и нет. Что у вас тут работать должно и как?
                К третьему комментарию вы все же пришли к выводу, что не все так радужно, как кажется — уже хорошо.
                Хватит полемики, я понимаю что вы с DDoS никогда сами не сталкивались и поэтому имеете весьма расплывчатое представление о том, как с этим бороться. Просто поверьте на слово — есть ситуации, когда сделать ничего нельзя, вообще.
            • 0
              Единственный вариант при таких раскладах — спрятаться за кого-то побольше, типа Incapsula или Akamai и прочими Cloudflare. Почти все подобные сервисы умеют забрать сеть клиента под защиту при помощи BGP.
              • 0
                Если речь идет о провайдере или хостере, то это не решение. Кроме того, это потребует таких денежных вливаний, что атакующий просто в итоге возьмет тебя измором. Затраты на организацию ддос-атаки и затраты на защиту от нее несоизмеримы. А для небольших компаний зачастую вообще неподъемны :(
                • 0
                  Из каких соображений «это не решение»? Из гордости? Ну-ну.
                  Вот как раз-таки большие анти-ддос сервисы и приближаются к тому, что стоимость защиты начинает сравниваться со стоимостью организации атаки. Создать и, главное, поддерживать большой, качественный ботнет — тоже не очень дешевое занятие. Cloudflare пару месяцев назад успешно поглотила атаку на одного из своих клиентов мощностью в 400Гбит/с, не ухудшив показатели клиентов, не находящихся под атакой. А это был один из самых «дешевых» способов организивать атаку — ntp amplification. И тем не менее, да же на такое уже есть адекватная защита.
                  • 0
                    Потому что это во-первых увеличит задержки (не знаю насколько существенно, зависит от расположения серверов, которые будут стоять на пути ддос-атаки), а во-вторых увеличит маршруты до соседних сетей.
                    Вот мы например находимся в жопе мира глубоко в Сибири и я подозреваю, что при таком раскладе эти проблемы предстанут во всей красе.
                    А по стоимости — ну, 100 баксов за 1 хост в месяц примерно. Неподъемно же, мало кто в месяц столько с одного клиента имеет.
  • +2
    «Сказ о том, как корпорации ваш малый бизнес от конкурентов избавляли».

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.