Отличный способ выстрелить себе в ногу, ну или не только себе

в 0:21, , рубрики: amazon, Amazon Web Services, AWS, dos, Google, метки: , , ,

Публикую краткий перевод статьи. Советую прочитать ее полный текст на языке оригинала.

Panos Ipeirotis получил недавно счет от амазона на сумму более $1170, в то время как обычно сумма в его счетах значилась около $100.

Отличный способ выстрелить себе в ногу, ну или не только себе

Как оказалось, был превышен лимит исходящего трафика, и составил он (внимание) 8.8 терабайт.
После проверки логов, Panos выяснил, что виновником был бот:
74.125.156.82 Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html)
74.125.64.83 Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html)

По его расчетам, трафик составлял 250 гигабайт в час.
Но как оказалось это был не обычный бот-crawler.
Feedfetcher служит для предварительной загрузки контента, который пользователь добляет в свой Google Reader или на свою главную страницу Google. Соответственно — загружается контент от имени пользователя, и поэтому даже игнорируется robots.txt

Panos вспомнил, что вставлял jpg файлы в Google Spreadsheet командой =image(url), а так как эти данные приватные, google не сохраняет их у себя на серверах, даже не кеширует — уважая приватность пользователя. Обновляя каждые уменьшенные изображения в таблице каждый (!) час, т.е. выкачивая все изображения каждый час.

Если бы это был какой-то обычный домен, google ограничивал бы количество запросов, но так как это был s3.amazonaws.com с терабайтами (петабайтами?) веб-контента, у поискового гиганта не было причин ограничивать себя. Получилось примерно как: «Если утюг поставить в холодильник, кто из них победит?»

Panos делает логичный вывод: данная техника может применятся для Denial of Bank Account attack на те сайты которые размещаются на amazon. Для этого надо:

  1. С сайта жертвы собрать как можно больше ссылок на медиа-файлы (jpg, pdf, etc)
  2. Разместить ссылки в rss фиде или в google spreadsheet
  3. Добавить фид в Reader или использовать команду =image()
  4. Откинуться в кресле, наблюдая за хабраэффектом

История окончилась успешно — после ее публикации, амазон списал начисления за превышенный трафик, расценив его как случайный и не преднамеренный.

Вывод из этой истории: будьте бдительны с подобными ресурсами.

Автор: slayerhabr

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js