利用Google爬虫DDoS任意网站,利用Spreadsheet作为DDoS武器。

只需要使用一台笔记本,打开几个web标签页,仅仅拷贝一些指向10MB文件的链接,Google去抓取同一文件的流量就超过了700Mbps。

提醒:以下内容仅供安全测试及教学参考,禁止任何非法用途

Google的FeedFetcher爬虫会将spreadsheet的=image(“link”)中的任意链接缓存。

例如:

如果我们将=image(“http://example.com/image.jpg”)输入到任意一个Google spreadsheet中,Google就会“派出”FeedFetcher爬虫去抓取这个图片并保存到缓存中以将其显示出来。

但是,我们可以为文件名附加上随机参数,使FeedFetcher多次抓取同一文件。也就是说,如果一个网站有一个10MB的文件,要是将以下列表输入到Google spreadsheet中,那么Google的爬虫就会抓取该文件1000次。

=image("http://targetname/file.pdf?r=0")
=image("http://targetname/file.pdf?r=1")
=image("http://targetname/file.pdf?r=2")
=image("http://targetname/file.pdf?r=3")
...
=image("http://targetname/file.pdf?r=1000")

附加上随机参数后,每个链接都被看作是不同的链接,因此Google爬虫会去抓取多次,使网站产生大量出站流量。所以任何人只需使用浏览器并打开一些标签,就可以向web服务器发动巨大流量HTTP GET洪水攻击。

但是这种攻击使攻击者根本不需要有多大的带宽,只需要将“图像”地址输入进spreadsheet,Google就会从服务器上抓取这个10MB的数据,但是因为地址指向一个PDF文件(非图像文件),攻击者从Google得到的反馈为N/A。很明显这种类型的流量可以被放大多倍,引起的后果很可能是灾难性的。

只需要使用一台笔记本,打开几个web标签页,仅仅拷贝一些指向10MB文件的链接,Google去抓取同一文件的流量就超过了700Mbps。而这种600-700Mbps的抓取流量大概只持续了30-45分钟,我就把服务器关闭了。如果没算错的话,45分钟内大概走了240GB的流量。

利用Google爬虫DDoS任意网站,利用Spreadsheet作为DDoS武器。

我和我的小伙伴被这么高的出站流量惊呆了。如果文件再大一点的话,我想其出站流量可以轻易达到Gpbs级,而且进站流量也能达到50-100Mbps。可以想象如果多个攻击者同时用这种方法攻击某个网站的话,流量能有多少了。同时由于Google用会多个IP地址进行抓取,所以也很难阻止这种类型的GET洪水攻击,而且很容易将攻击持续数个小时,因为这种攻击实在是太容易实施了。

发现这个bug后,我开始搜索由其产生的真实案例,还真发现了两例:

第一起攻击案例解释了博主如何不小心攻击了自己,结果收到了巨款流量账单。另一篇文章《利用Spreadsheet作为DDoS武器》描述了另一个类似攻击,但指出攻击者必须先抓取整个网站并用多个帐户将链接保存在spreadsheet中。

不过奇怪的是没有人尝试用附加随机请求变量的方法。尽管只是目标网站的同一个文件,但通过这种添加随机请求变量的方法是可以对同一文件请求成千上万次的,后果还是挺吓人的,而且实施过程很容易,任何人只需要动动手指头拷贝一些链接就可以做到。

我昨天将这个bug提交给了Google,今天得到了他们的反馈,表示这不属于安全漏洞,认为这是一个暴力拒绝服务攻击,不在bug奖金范围中。

也许他们事前就知道这个问题,并且认为这不是bug?

不过即使拿不到奖金,我仍希望他们会修复这个问题,由于实施门槛低,任何人都可以利用Google爬虫发动这种攻击。有一种简单的修复方法,就是Google只抓取没有请求参数的链接。希望Google早日修复这个bug,使站长免受其带来的威胁。

原文地址:

Using Google to DDoS any website

利用Google爬虫DDoS任意网站

相关内容:

利用Google爬虫DDoS任意网站,利用Spreadsheet作为DDoS武器

SOHU视频XSS漏洞导致其用户成为DDOS肉鸡,22000用户发了2000万GET请求

Using Facebook Notes to DDoS any website

超过16W的WordPress网站被用来做DDoS攻击

Bitcoin startup BIPS loses $1 million after DDoS heist

通过nginx配置文件抵御攻击,防御CC攻击的经典思路!

逆向追踪之:通过QQ群里的图片逆向入侵,拿了几个phpddos的脚本

Zmap详细用户手册和DDOS的可行性

打造TB级流量DDoS大杀器,超级流量反射放大攻击系统

【逆向爆菊】某DDOS事件逆向追踪。。。有人深挖过吗?

云计算做数据包分析防御DDOS攻击

超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她

黑客可利用云开发平台进行DDOS攻击

基于云计算的DDOS攻击缓解方案

迅雷云你伤不起啊,利用迅雷云资源绑架用户,发起大型DDOS攻击

史上最大流量DDOS攻击者被捕

分析:DDos攻击被更有针对性地应用

一段黄色笑话引发的DDoS攻击

US-CERT:DNS服务器配置不当是上周300G DDoS的元凶

基地组织官网遭受海量ddos攻击

DDoS 攻击转移到 IPv6

Asp + 后台服务控制的 DDOS 木马,整套源码下载

WordPress 怎么防止刷流量?一个讨论防御CC攻击的话题……

IIS 6.0 IP 地址限制辅助工具 v1.0

IIS 批量封禁 IP 地址、网站被 CC 攻击的解决办法

简单分析一次 CC 攻击

浅谈Ddos攻击攻击与防御

匿名者叫嚣:3月31日将攻击13个DNS根服务器,使全球互联网瘫痪!

T00ls.Net 征集 DDOS、CC 防御解决方案

Asp 防御CC攻击模块 (Anti-CC.asp)

Asp 防御CC攻击模块 (Anti-CC.asp) - 增加小功能

【CSRF】基于图片方式(<img)的 DDOS、CC、会话劫持以及刺探用户信息

电磁风暴超暴力 PHP DDOS 攻击工具 & PHP DDOS 攻击 - 编年史

美国热炒解放军网络战能力 国产神器!军工级暴力DDOS攻击系统!

男子转嫁黑客攻击致金盾网瘫痪 被DDOS请勿乱指域名到政府网

利用P2P网络发动大规模、大流量DDOS攻击

Linux 系统下 DDOS 工具 tfn2k 攻击原理详解

【批处理】批处理、Bat 也能进行 DDOS 攻击?

【Asp代码】用Asp来搞DDOS攻击

DRDoS 反弹DDoS攻击 反弹DDoS攻击 力度远大于分布式DDOS攻击

留言评论(旧系统):

佚名 @ 2015-06-19 16:33:46

GOOGLE已经修复了吧,测试并发流量不会超高5M/秒

本站回复:

是的,一年前的漏洞了,应该早修复了。

佚名 @ 2015-06-25 11:29:25

这不是去年的文章了吗,怎么现在才发在这里……

本站回复:

看思路很不错,所以存一份。