DDoS любого сайта с использованием заметок Facebook

    Полтора месяца назад, chr13 обнаружил способ произвести DDoS любого сайта с помощью Google Spreadsheet, а теперь же он применил такой способ в Facebook Notes. И он сработал!

    Способ эксплуатации совершенно такой же, как и в Google Spreadsheet:
    1. Сделайте список «уникальных» «картинок»
      <img src=http://targetname/file?r=1></img>
      <img src=http://targetname/file?r=2></img>
      ...
      <img src=http://targetname/file?r=1000></img>
    2. Создайте заметку через m.facebook.com. Сервис обрежет заметку после какой-то фиксированной длины
    3. Создайте несколько таких заметок под одним или несколькими пользователями. Каждая заметка будет делать 1000+ HTTP-запросов
    4. Откройте все заметки одновременно. Указанный сервер получит гору HTTP-трафика. Тысячи запросов уйдут на сервер в течение пары секунд.


    У автора получилось полностью загрузить гигабитный канал на своей VPS. В атаке было задействовано 127 серверов Facebook.
    image

    Facebook пометил проблему как «Won't fix».

    Более подробная информация на сайте автора
    Поделиться публикацией

    Комментарии 37

      +15
      Надо fb на сам fb натравить.
        +61
        Google vs. Facebook
        Fight!
          +3
          рекурсивно. натравить гугл на фейсбук, а фейсбук на гугл :)
            –4
            это не рекурсия
              +3
              А есть вообще название для конструкций такого вида?
              foo() { bar(); }
              bar() { foo(); }
              
                +9
                В программировании рекурсия — вызов функции (процедуры) из неё же самой, непосредственно (простая рекурсия) или через другие функции.
                  +6
                  Ну вот, поэтому в вышеприведенном комментарии как раз-таки рекурсия.
                    –2
                    del
                      0
                      Я всего лишь написал, что это косвенная рекурсия, а не прямая, и только потом увидел, что ниже уже сказали :)
                  +1
                  косвенная рекурсия
                    +2
                    переполнение стека :) рано или поздно :)
                      +2
                      Mutual recursion.

                      С применением данной конструкции определен класс типов Eq в Haskell.
                      class Eq a where  
                          (==) :: a -> a -> Bool  
                          (/=) :: a -> a -> Bool  
                          x == y = not (x /= y)  
                          x /= y = not (x == y)  
                      
                        +1
                        циклическая ссылка
                          +2
                          Для конструкции такого вида даже графический символ есть :)

                          Инь-ян
                            0
                            infinite loop, endless loop, dead loop
                          –3
                          о, да! deadlock
                            0
                            deadlock — это когда ждут друг друга, а тут идет бесконечная работа, а не ожидание
                              0
                              Только не понятно, livelock или starvation…
                      +6
                      Вы так FB натравите на российских хостеров, которых роскомнадзор рекомендовал использовать — будет аргумент потом, почему не переезжаете к ним, мол, хилые они :)

                      P.S. Правда, РКН ответит в той же краткой манере — «Won't fix», и переход порекомендует с увеличенной силой.
                        +3
                        Видимо что то не так делал. Сервер так и не упал :/
                        Кстати тысяча img не сохранилась в заметку. Получилось только 200 запихнуть. При попытке отправки текста с тысчей тегов FB выпадал с ошибкой.
                          +3
                          Любопытно.
                          Лицокнига не превращает HTML-теги в текст?
                            +4
                            Судя по этой теме фейсбуковский бот имеет в имени юзерагента подстроку facebookexternalhit. Можно будет проапдейтить конфиги.
                              +1
                              Вы правы, а именно эти 2 варианта встретились мне в access.log:
                              1 — facebookexternalhit/1.1
                              2 — facebookexternalhit/1.0
                              0
                              А толку то с этого?
                              В наше время, когда есть сервисы типа restricted-stresser и другие (сотни их) со свободной регистрацией, каждый школьник может организовать атаку в 5-10Гбит просто откладывая деньги на обед.
                              И никто с этим не борется и бороться не собирается, так что позиция фейсбука понятна.
                                –3
                                С этим борются на стороне того, кого ДДОсят. Ставят блокировки, пишут умные алгоритмы. Всё работает.
                                  +2
                                  Все работают :)
                                    +2
                                    О да, проблемы DDoS в современном мире не существует.
                                      –2
                                      Проблема комаров тоже существует.
                                      Однако это не означает, что против неё нельзя бороться с той или иной успешностью.
                                        +6
                                        Забавно как у вас мнение меняется с «всё работает» до «бороться с той или иной успешностью».
                                        Ну давайте на примере что-ли.
                                        Дано — собственная подсеть /24, аплинк до магистрального провайдера 10Гбит, оборудование у магистральщиков вам конечно же не подконтрольно, единственный метод воздействия — BGP blackhole. На вашу подсеть начинает идти атака, занимающая всю полосу в 10Гбит, ваши действия?
                                          +21
                                          Плакать
                                            –2
                                            Есть способ != не существует проблемы.
                                            Работает != ликвидирует.
                                            Я не знаю, как ещё сформулировать свою мысль, чтобы вы хотя бы попытались меня понять, а не придирались к словам.

                                            Существуют механизмы защиты от DDOS-атак, защищающие от части этих атак, зависящей от сути, продуманности и качества этих механизмов.
                                            Так понятнее?
                                              +4
                                              Так я вам конкретный пример привел, когда адекватных способов в общем-то и нет. Что у вас тут работать должно и как?
                                              К третьему комментарию вы все же пришли к выводу, что не все так радужно, как кажется — уже хорошо.
                                              Хватит полемики, я понимаю что вы с DDoS никогда сами не сталкивались и поэтому имеете весьма расплывчатое представление о том, как с этим бороться. Просто поверьте на слово — есть ситуации, когда сделать ничего нельзя, вообще.
                                              0
                                              Единственный вариант при таких раскладах — спрятаться за кого-то побольше, типа Incapsula или Akamai и прочими Cloudflare. Почти все подобные сервисы умеют забрать сеть клиента под защиту при помощи BGP.
                                                0
                                                Если речь идет о провайдере или хостере, то это не решение. Кроме того, это потребует таких денежных вливаний, что атакующий просто в итоге возьмет тебя измором. Затраты на организацию ддос-атаки и затраты на защиту от нее несоизмеримы. А для небольших компаний зачастую вообще неподъемны :(
                                                  0
                                                  Из каких соображений «это не решение»? Из гордости? Ну-ну.
                                                  Вот как раз-таки большие анти-ддос сервисы и приближаются к тому, что стоимость защиты начинает сравниваться со стоимостью организации атаки. Создать и, главное, поддерживать большой, качественный ботнет — тоже не очень дешевое занятие. Cloudflare пару месяцев назад успешно поглотила атаку на одного из своих клиентов мощностью в 400Гбит/с, не ухудшив показатели клиентов, не находящихся под атакой. А это был один из самых «дешевых» способов организивать атаку — ntp amplification. И тем не менее, да же на такое уже есть адекватная защита.
                                                    0
                                                    Потому что это во-первых увеличит задержки (не знаю насколько существенно, зависит от расположения серверов, которые будут стоять на пути ддос-атаки), а во-вторых увеличит маршруты до соседних сетей.
                                                    Вот мы например находимся в жопе мира глубоко в Сибири и я подозреваю, что при таком раскладе эти проблемы предстанут во всей красе.
                                                    А по стоимости — ну, 100 баксов за 1 хост в месяц примерно. Неподъемно же, мало кто в месяц столько с одного клиента имеет.
                                      +2
                                      «Сказ о том, как корпорации ваш малый бизнес от конкурентов избавляли».

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое