Sign up
April 26, 2014 at 11:02 PM

DDoS любого сайта с использованием заметок Facebook

    Полтора месяца назад, chr13 обнаружил способ произвести DDoS любого сайта с помощью Google Spreadsheet, а теперь же он применил такой способ в Facebook Notes. И он сработал!

    Способ эксплуатации совершенно такой же, как и в Google Spreadsheet:
    1. Сделайте список «уникальных» «картинок»
      <img src=http://targetname/file?r=1></img>
<img src=http://targetname/file?r=2></img>
...
<img src=http://targetname/file?r=1000></img>
    2. Создайте заметку через m.facebook.com. Сервис обрежет заметку после какой-то фиксированной длины
    3. Создайте несколько таких заметок под одним или несколькими пользователями. Каждая заметка будет делать 1000+ HTTP-запросов
    4. Откройте все заметки одновременно. Указанный сервер получит гору HTTP-трафика. Тысячи запросов уйдут на сервер в течение пары секунд.


    У автора получилось полностью загрузить гигабитный канал на своей VPS. В атаке было задействовано 127 серверов Facebook.
    image

    Facebook пометил проблему как «Won't fix».

    Более подробная информация на сайте автора
    Tags:
    Hubs:
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 37

      +15
      Надо fb на сам fb натравить.
        +61
        Google vs. Facebook
        Fight!
          +3
          рекурсивно. натравить гугл на фейсбук, а фейсбук на гугл :)
            –4
            это не рекурсия
              +3
              А есть вообще название для конструкций такого вида?
              foo() { bar(); }
bar() { foo(); }
                +9
                В программировании рекурсия — вызов функции (процедуры) из неё же самой, непосредственно (простая рекурсия) или через другие функции.
                  +6
                  Ну вот, поэтому в вышеприведенном комментарии как раз-таки рекурсия.
                    –2
                    del
                      0
                      Я всего лишь написал, что это косвенная рекурсия, а не прямая, и только потом увидел, что ниже уже сказали :)
                  +1
                  косвенная рекурсия
                    +2
                    переполнение стека :) рано или поздно :)
                      +2
                      Mutual recursion.

                      С применением данной конструкции определен класс типов Eq в Haskell.
                      class Eq a where  
    (==) :: a -> a -> Bool  
    (/=) :: a -> a -> Bool  
    x == y = not (x /= y)  
    x /= y = not (x == y)
                        +1
                        циклическая ссылка
                          +2
                          Для конструкции такого вида даже графический символ есть :)

                          Инь-ян
                            0
                            infinite loop, endless loop, dead loop
                          –3
                          о, да! deadlock
                            0
                            deadlock — это когда ждут друг друга, а тут идет бесконечная работа, а не ожидание
                              0
                              Только не понятно, livelock или starvation…
                      +6
                      Вы так FB натравите на российских хостеров, которых роскомнадзор рекомендовал использовать — будет аргумент потом, почему не переезжаете к ним, мол, хилые они :)

                      P.S. Правда, РКН ответит в той же краткой манере — «Won't fix», и переход порекомендует с увеличенной силой.
                        +3
                        Видимо что то не так делал. Сервер так и не упал :/
                        Кстати тысяча img не сохранилась в заметку. Получилось только 200 запихнуть. При попытке отправки текста с тысчей тегов FB выпадал с ошибкой.
                          +3
                          Любопытно.
                          Лицокнига не превращает HTML-теги в текст?
                            +4
                            Судя по этой теме фейсбуковский бот имеет в имени юзерагента подстроку facebookexternalhit. Можно будет проапдейтить конфиги.
                              +1
                              Вы правы, а именно эти 2 варианта встретились мне в access.log:
                              1 — facebookexternalhit/1.1
                              2 — facebookexternalhit/1.0
                              0
                              А толку то с этого?
                              В наше время, когда есть сервисы типа restricted-stresser и другие (сотни их) со свободной регистрацией, каждый школьник может организовать атаку в 5-10Гбит просто откладывая деньги на обед.
                              И никто с этим не борется и бороться не собирается, так что позиция фейсбука понятна.
                              • UFO just landed and posted this here
                                  +2
                                  Все работают :)
                                    +2
                                    О да, проблемы DDoS в современном мире не существует.
                                    • UFO just landed and posted this here
                                        +6
                                        Забавно как у вас мнение меняется с «всё работает» до «бороться с той или иной успешностью».
                                        Ну давайте на примере что-ли.
                                        Дано — собственная подсеть /24, аплинк до магистрального провайдера 10Гбит, оборудование у магистральщиков вам конечно же не подконтрольно, единственный метод воздействия — BGP blackhole. На вашу подсеть начинает идти атака, занимающая всю полосу в 10Гбит, ваши действия?
                                          +21
                                          Плакать
                                          • UFO just landed and posted this here
                                              +4
                                              Так я вам конкретный пример привел, когда адекватных способов в общем-то и нет. Что у вас тут работать должно и как?
                                              К третьему комментарию вы все же пришли к выводу, что не все так радужно, как кажется — уже хорошо.
                                              Хватит полемики, я понимаю что вы с DDoS никогда сами не сталкивались и поэтому имеете весьма расплывчатое представление о том, как с этим бороться. Просто поверьте на слово — есть ситуации, когда сделать ничего нельзя, вообще.
                                              0
                                              Единственный вариант при таких раскладах — спрятаться за кого-то побольше, типа Incapsula или Akamai и прочими Cloudflare. Почти все подобные сервисы умеют забрать сеть клиента под защиту при помощи BGP.
                                                0
                                                Если речь идет о провайдере или хостере, то это не решение. Кроме того, это потребует таких денежных вливаний, что атакующий просто в итоге возьмет тебя измором. Затраты на организацию ддос-атаки и затраты на защиту от нее несоизмеримы. А для небольших компаний зачастую вообще неподъемны :(
                                                  0
                                                  Из каких соображений «это не решение»? Из гордости? Ну-ну.
                                                  Вот как раз-таки большие анти-ддос сервисы и приближаются к тому, что стоимость защиты начинает сравниваться со стоимостью организации атаки. Создать и, главное, поддерживать большой, качественный ботнет — тоже не очень дешевое занятие. Cloudflare пару месяцев назад успешно поглотила атаку на одного из своих клиентов мощностью в 400Гбит/с, не ухудшив показатели клиентов, не находящихся под атакой. А это был один из самых «дешевых» способов организивать атаку — ntp amplification. И тем не менее, да же на такое уже есть адекватная защита.
                                                    0
                                                    Потому что это во-первых увеличит задержки (не знаю насколько существенно, зависит от расположения серверов, которые будут стоять на пути ддос-атаки), а во-вторых увеличит маршруты до соседних сетей.
                                                    Вот мы например находимся в жопе мира глубоко в Сибири и я подозреваю, что при таком раскладе эти проблемы предстанут во всей красе.
                                                    А по стоимости — ну, 100 баксов за 1 хост в месяц примерно. Неподъемно же, мало кто в месяц столько с одного клиента имеет.
                                      +2
                                      «Сказ о том, как корпорации ваш малый бизнес от конкурентов избавляли».

                                      Only users with full accounts can post comments. Log in, please.

                                      Top discussions

                                      There's nothing here

                                      Top posts

                                      Your account

                                      Sections

                                      Info

                                      Services

                                      © 2006 – 2021 «Habr»
                                      Language settings
                                      About
                                      Support
                                      Mobile version