nginxを用いてgzip爆弾による不正アクセスへの攻性防壁 - Qiita

はじめに Wordpressの脆弱性狙いの不正アクセスに対して、展開後にとても大きくなるgzipファイルをレスポンスすることで攻性防壁を構築するブログを参考に、nginxを用いてMacのローカルPCに検証構築した記録です。 参考： How to defend your website with ZIP bombs ソフトウェアバージョン MacOSX Sierra nginx : 1.12.2 手順 Homebrewにてnginxをインストールして検証しました。 nginxの設定ファイルなどのパスについては、自分の環境に適宜置き換えてください。 1. gzip爆弾ファイルの作成 展開後に10GBになるgzファイルをwww配下に作成します。 圧縮状態だと10MB程です。

[zenito9970]

攻性防壁って法的にどうなんかな(´･c_･`)

[ElizaAcolyte]

非常に面白いし、個人管理のサーバで試してみたいところだけど、昨今の警察の動きを考えると迂闊に試して良いものか悩ましい。ただの圧縮ファイルとはいえ、明確に悪意が含まれている場合にどう判断されるのか……。

[rti7743]

gzip爆弾は、意味がないと思う。逆に外向きの転送量が増えてクラウドベンダーに課金されて悲しい思いをするだけなんでね。攻撃側は、curl --compressed --raw url で回避できそう。

[vndn]

http経由でgzipを展開せずに入手されるようなことがあると「害のあるプログラムをそれと知りながら配布しているURL」になってしまう気がする。

[ledsun]

gzip爆弾より、HTTP Streamingで無限にデータを返した方がいいのでは？ネットワーク資源とメモリ資源で等倍で戦ったら負けるか。クライアント側で1秒タイムアウト設定すれば対策できちゃうか

[NOV1975]

ブラクラ設置と同じ扱いになりそうで怖い

[n314]

面白い。ブラウザで見れてcurlで見れないっていう逆の方が使えそう。

[hinaloe]

ん、互換性用にnginxで伸張するような設定にしてるとかのミスやらかさなければ転送量爆発は起こらないんじゃ（といあかその場合nginxがメモリ不足で死ぬのが先になりそうだけど）>転送量云々

[monster-energy-zx14]

神奈川県警からきました

[buhoho]

不正アクセスしたんだから攻撃が返ってくるのは想定される動作だ。とかいう理屈なんだろうか

[ryuichi1208]

完全に閉じた環境でやらないと警察くる可能性もあるのか。やってることはとても楽しそうだけど🤔

[nharuki]

phpMyAdmin/ ってパスで公開しておけばキディ爆釣？

[regularexception]

家の窓の内側に殺傷力のある罠を仕掛けるのは違法か合法か

[cocoasynn]

神奈川県警から爆弾という名前に反応されて目をつけられそうな内容だ

[diveintounlimit]

ネタとしては面白いけど、10MBにもなると転送費用バカにならなそう。。

[public_key]

発想はおもしろいんだけど、セキュリティ的にはブラクラと一緒で"防壁"ではないよね

[sugawara1991]

1000倍だと10MB送っても10GBにしかならないから割と耐える環境ありそうだし攻撃側の転送量も馬鹿にならない気がします。他の手法を組み合わせるとどうだろうhttps://gigazine.net/news/20190705-zip-bomb/

[kaerucircus]

転送量が従量のとこは共倒れになるな。つか、もちょっと、良さげな方法あるんでは？

[topiyama]

神奈川県警警察の見解を求む

[UDONCHAN]

へぇ

[hatomugicha]

違うけど解凍したらhddを埋め尽くす無意味なテキストファイルの事だと思うけど98の頃を思い出す

[jsstudy]

コマンドラインツール：curlやwgetでは圧縮後のファイルをダウンロードするだけで自動展開はされないためあまり爆弾になりませんでした。

[t-tanaka]

展開前後のサイズ比がたったの1000倍だと大したことができないけどね。Javaの世界だと，デシリアライスするともう数桁でかくなるデータとかが知られてて，えげつない攻撃ができます。

[chess-news]

偽データとして、おいとくぐらいはいいかもね。エクセルがzipらしいけど紛れ込ませられないのかな。

[odmishien]

攻性防壁って攻殻機動隊できいた！

[sasagin]

ホームアローンみたいに空き巣を撃退すると、撃退した側が罪に問われるから気をつけたほうがいいかも。

[shoutatani]

攻性防壁か・・・

[akiat]

家に押し入られた時のトラップとして、包み紙に爆弾をしかけておくって話？

[TakamoriTarou]

普通に設置したら違法かな。私刑や報復が合法の地獄はまともな人は誰も望まない。やるべきはログを取り警察にサボらず取り締まれと言うべきだが、なぜか犯罪教唆をする連中は犯罪者を見逃せと真逆の事を言う。

[snjx]

こーせーぼーへきwwwwwww

[cl-gaku]

攻殻の世界では法的なやつはどうなってたんだっけ

[Phenomenon]

難度の低いパスワードで解かれたらこれ投げるとかかな

[kkobayashi]

兵庫県なら逮捕されるぞ

[misomico]

神奈川県警がくるぞぉ！

[satohu20xx]

ブラウザから手打ちでさがす人なんているのかねぇとマジレス