Aller au contenu


Attaque Dos Via Google.

DoS déni de service Feedfetcher Google Spreadsheet Slashdot

  • Vous ne pouvez pas répondre à ce sujet
No replies to this topic

#1 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 28 avril 2012 - 12:25

Salut !

Panos Ipeirotis, professeur d'informatique associé de l'université de New York, a appris à ses dépens que Google peut être utilisé pour lancer avec succès une attaque par déni de service (DoS) contre des sites avec un minimum d'effort.
The Google attack: How I attacked myself using Google Spreadsheets and I ramped up a $1000 bandwidth bill

Tout a commencé quand il a vu que Amazon Web Services lui taxait une somme beaucoup plus importante que d'habitude à cause d'un important trafic sortant.

« Au début, j'avais peur que la cause de cette bande passante soit un script que je configure pour sauvegarder mes photos depuis mon réseau local vers S3. Mais ensuite j'ai réalisé que j'utilisais ce script de sauvegarde sur S3 depuis plusieurs mois maintenant, et que de toutes façons tout le trafic entrant dans S3 était libre. Il s'agissait d'une question de trafic sortant. »

« So, it was Google that was crawling the bucket. Aggressively. Very aggressively. »

Après avoir analysé les statistiques de trafic, il a été en mesure de déterminer que chaque heure un total de 250 gigaoctets de trafic a été envoyé à cause de Google Feedfedcher, le mécanisme qui permet au moteur de recherche de saisir le flux RSS ou Atom lorsque les utilisateurs les ajoutent au ''Reader'' ou à la page d'accueil Google.
Il semble que Google ne veuille pas stocker les informations sur ses propres serveurs aussi utilise-t-il Feedfetcher pour les récupérer, générant ainsi de grandes quantités de trafic. Il répétait l'opération en boucle.

« En regardant plus soigneusement, il y avait un drapeau rouge. Ceci n'était pas le Google ''crawler''. Celui-ci se nomme GoogleBot pour les pages Web et la Googlebot-image pour les images. Il ne s'appelle pas Feedfetcher comme ce service utilisateur. »

…. …. …. ….

« Then I realized: This is a technique that can be used to launch a denial of service attack against a website hosted on Amazon (or even elsewhere). The steps:

  • Gather a large number of URLs from the targeted website. Preferably big media files (jpg, pdf, etc)
  • Put these URLs in a Google feed, or just put them in a Google Spreadsheet
  • Put the feed into a Google service, or use the image(url) command in Google spreadsheet
  • Sit back and enjoy seeing Google launching a Slashdot-style denial of service attack against your target.
What I find fascinating in this setting is that Google becomes such a powerful weapon due to a series of perfectly legitimate design decisions. First, they separate completely their index from the URLs that they fetch for private purposes. Very clean and nice design. The problem? No caching. Second, Google is not doing lazy evaluation in the feeds but tries to pre-fetch them to be ready and fresh for the user. The problem? Google is launching its Feedfetcher crawlers again and again. Combine the two, and you have a very, very powerful tool that can generate untraceable denials of service attacks. »

« Effrayant et instructif en même temps: Vous ne savez jamais comment les outils que vous créez peuvent être utilisés, quelles que soient la noblesse des intentions et des décisions de conception. »


@+
DOS whith the help of Google.

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)




0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)