Главная

Отличный способ выстрелить себе в ногу, ну или не только себе

2012-04-30 в 0:21, admin, рубрики: amazon, Amazon Web Services, AWS, dos, Google, метки: amazon, aws, dos, Google

Публикую краткий перевод статьи. Советую прочитать ее полный текст на языке оригинала.

Panos Ipeirotis получил недавно счет от амазона на сумму более $1170, в то время как обычно сумма в его счетах значилась около $100.

Отличный способ выстрелить себе в ногу, ну или не только себе

Как оказалось, был превышен лимит исходящего трафика, и составил он (внимание) 8.8 терабайт.
После проверки логов, Panos выяснил, что виновником был бот:
74.125.156.82 Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html) 74.125.64.83 Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html)
По его расчетам, трафик составлял 250 гигабайт в час.
Но как оказалось это был не обычный бот-crawler.
Feedfetcher служит для предварительной загрузки контента, который пользователь добляет в свой Google Reader или на свою главную страницу Google. Соответственно — загружается контент от имени пользователя, и поэтому даже игнорируется robots.txt

Panos вспомнил, что вставлял jpg файлы в Google Spreadsheet командой =image(url), а так как эти данные приватные, google не сохраняет их у себя на серверах, даже не кеширует — уважая приватность пользователя. Обновляя каждые уменьшенные изображения в таблице каждый (!) час, т.е. выкачивая все изображения каждый час.

Если бы это был какой-то обычный домен, google ограничивал бы количество запросов, но так как это был s3.amazonaws.com с терабайтами (петабайтами?) веб-контента, у поискового гиганта не было причин ограничивать себя. Получилось примерно как: «Если утюг поставить в холодильник, кто из них победит?»

Panos делает логичный вывод: данная техника может применятся для Denial of Bank Account attack на те сайты которые размещаются на amazon. Для этого надо: