Panos Ipeirotisは最近、Amazonから1,170ドル以上の請求書を受け取りましたが、通常、アカウントの金額は約100ドルでした。
判明したように、発信トラフィックの制限を超えており、(注意) 8.8テラバイトに達しました。
ログを確認した後、Panosはボットが原因であることがわかりました。
74.125.156.82 Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html)
74.125.64.83 Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html)
彼の計算によると、トラフィックは1時間あたり250ギガバイトでした。
しかし、判明したように、それは普通のボットクローラーではありませんでした。
Feedfetcherは、ユーザーがGoogleリーダーまたはGoogleホームページに追加するコンテンツをプリロードするために使用されます。 したがって、コンテンツはユーザーに代わってロードされるため、robots.txtは無視されます
Panosはjpgファイルをcommand = image(url)でGoogleスプレッドシートに挿入したことを思い出しました。このデータはプライベートであるため、googleはサーバーに保存せず、キャッシュもしません-ユーザーのプライバシーを尊重します。 テーブル内のすべてのサムネイル画像を(!)時間ごとに更新します。 すべての画像を1時間ごとに収縮させます。
通常のドメインの場合、Googleはリクエストの数を制限しますが、テラバイト(ペタバイト?)のWebコンテンツを持つs3.amazonaws.comであったため、検索の巨人は自分自身を制限する理由がありませんでした。 「冷蔵庫に鉄を入れたら、どれが勝ちますか?」
Panosは論理的な結論を出します。この手法は、Amazonでホストされているサイトに対する銀行口座の拒否攻撃に使用できます。 これを行うには:
- 被害者のウェブサイトから可能な限り多くのメディアファイルへのリンクを収集します(jpg、pdfなど)
- RSSフィードまたはGoogleスプレッドシートにリンクを投稿する
- リーダーにフィードを追加するか、= image()コマンドを使用します
- 椅子に寄りかかり、habraeffectを見る
ストーリーは無事に終了しました-アマゾンは、その公開前でさえ、それが偶然であり、意図的ではないと見なして、過剰なトラフィックの料金を取り消しました。
この話からの結論:同様のリソースに注意してください。