DDos атака на сайт через ReCaptcha

Скажу честно, меня безумно бесит ReCaptcha, гугл и все что с ними связано, а причина проста, гугл и их компания это сборище чмошников который ставят себя выше всех, суют свой нос куда не надо и всем диктуют свои правила.

ReCaptcha  — это любимое детище компании гугл, которое они называют эталоном среди капч, сегодня я смешаю этот  эталон с гавном.

recaptcha

Ддос атака имеет множество методов атак, возьмем самый простой из них — HTTP флуд.  HTTP флуд — это когда на 1 сервер посылается огромное количество запросов с разных машин, в итоге сервер не может их обработать и падает, тоесть, сервер держит 10.000 запросов в секунду, шлем 10.500 — все, больше к серверу никто не подключится.

Каким тут боком рекапча? — ддос атака набирает эффективности когда запросы идут на страницу которую сложно обработать + долго, скрипт который содержит в себе обработку рекапчи — идеальное место для атаки.

Как работает рекапча? вы разгадываете ее, на странице в форме прописывается проверочный ключ, отправляете запрос(авторизация и тд), сервер шлет ключ на сервер гугла для проверки, после обработка данных продолжается.

comp

Дополнительный запрос! — что может быть лучше) Тоесть, если раньше нам надо было отправить более 10.000 запросов на сервер чтобы он упал, то  теперь их нужно будет в двое меньше! Спасибо гуглу что облегчил работу тем кто занимается ддосом, так как рекапча есть почти на каждом сайте)

 

6 thoughts on “DDos атака на сайт через ReCaptcha

  1. могу заверить что наличие рекапчи никак не влияет на то какую нагрузку может выдержать сервер,

    влияет лишь жопорукость разработчика, обычно ддос берут нагрузкой на базу, именно она чаще всего является самым уязвимым местом, и если проверять ответ гугла перед серией тяжеллых запросов или перед длинной транзакцией, то наоборот это неплохая защита от ддос.

    • Я шлю тебе пост запрос мусора весом в 1мб, допустим у тебя сервак держит канал 100мб\сек, мне достаточно посылать как минимум 300-400 мб\сек чтобы твой сервак упал, а теперь представь что мусор я шлю на авторизацию в параметр рекапчи, тогда еще твой сервак будет тот же мусор отсылать дальше гуглу, забивая этим канал, одним словом облегчит мне работу ровно в половину.

      • Согласен, но это может подействовать только на самых убогих, с выше описанной вами атакой легко справляется CloudFlare даже на бесплатном плане. Даже если взять самого убогого то прием будет идти до последнего байта, тоесть чтобы забить канал на вход всё равно потребуется его забивать полностью, а отсылка гугла это уже канал на выход. В таком варианте сервак загнётся скорее всего от количества открытых дескрипторов а не от забитого канала.
        Также следует учитывать что и вам нужно будет иметь не меньшую ширину канала на протяжении всей трасы от серверов которые атакуют до атакуемых, тут также может быть проблема, может просто отвалиться узел, и вся атака захлебнётся

        • убогих? где ты видел сервак на обычном хостинге с выше 100мб каналом? ты если не шаришь не надо тут наваливать, такую херню наплел что смешно

          • Опять же сплошной негатив, на обычном хостинге просто отрубят тот сайт на который идёт ддос, так что да это можно считать удачной атакой, но потом хостер уже будет заниматься защитой а не обычный пользователь. Насколько могу судить со своего скромного опыта, просто банят запросы с айпи по которым идёт атака, ну и например ограничивает максимальный размер пост запроса.

            ЗЫ я не говорю что вариант не рабочий, только лишь сказал что всё зависит от жопорукости админов сервера.

  2. Привет админ, у меня есть такой вопрос, ты сам умеешь делать досс атаки на сайт?Что бы любой сайт который без какой либо защиты падал за 5 сек?
    Готов заплатить за информацию, и еще лучше если обучишь)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *