- PVSM.RU - https://www.pvsm.ru -

Отличный способ выстрелить себе в ногу, ну или не только себе

Публикую краткий перевод статьи [1]. Советую прочитать ее полный текст на языке оригинала.

Panos Ipeirotis получил недавно счет от амазона на сумму более $1170, в то время как обычно сумма в его счетах значилась около $100.

Отличный способ выстрелить себе в ногу, ну или не только себе

Как оказалось, был превышен лимит исходящего трафика, и составил он (внимание) 8.8 терабайт.
После проверки логов, Panos выяснил, что виновником был бот:
74.125.156.82 Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html)
74.125.64.83 Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html)

По его расчетам, трафик составлял 250 гигабайт в час.
Но как оказалось это был не обычный бот-crawler.
Feedfetcher [2] служит для предварительной загрузки контента, который пользователь добляет в свой Google Reader или на свою главную страницу Google. Соответственно — загружается контент от имени пользователя, и поэтому даже игнорируется robots.txt

Panos вспомнил, что вставлял jpg файлы в Google Spreadsheet командой =image(url) [3], а так как эти данные приватные, google не сохраняет их у себя на серверах, даже не кеширует — уважая приватность пользователя. Обновляя каждые уменьшенные изображения в таблице каждый (!) час, т.е. выкачивая все изображения каждый час.

Если бы это был какой-то обычный домен, google ограничивал бы количество запросов, но так как это был s3.amazonaws.com с терабайтами (петабайтами?) веб-контента, у поискового гиганта не было причин ограничивать себя. Получилось примерно как: «Если утюг поставить в холодильник, кто из них победит?»

Panos делает логичный вывод: данная техника может применятся для Denial of Bank Account attack на те сайты которые размещаются на amazon. Для этого надо:

  1. С сайта жертвы собрать как можно больше ссылок на медиа-файлы (jpg, pdf, etc)
  2. Разместить ссылки в rss фиде или в google spreadsheet
  3. Добавить фид в Reader или использовать команду =image()
  4. Откинуться в кресле, наблюдая за хабраэффектом

История окончилась успешно — после ее публикации, амазон списал начисления за превышенный трафик, расценив его как случайный и не преднамеренный.

Вывод из этой истории: будьте бдительны с подобными ресурсами.

Автор: slayerhabr


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/dos/6546

Ссылки в тексте:

[1] статьи: http://www.behind-the-enemy-lines.com/2012/04/google-attack-how-i-self-attacked.html

[2] Feedfetcher: http://support.google.com/webmasters/bin/answer.py?hl=ru&answer=178852

[3] =image(url): http://support.google.com/docs/bin/answer.py?hl=en-GB&answer=87037