Uso bombas ZIP para proteger mi servidor

 (idiallo.com)
36 puntos por baeba 2025-04-30 | 29 comentarios | Compartir por WhatsApp

Introducción

  • La mayor parte del tráfico de Internet proviene de bots, y algunos de ellos tienen fines maliciosos (spam, hacking, etc.).
  • El autor sufrió daños en el pasado por culpa de bots, como la infección de un servidor de WordPress o la exclusión de Google Search.
  • Para evitarlo, empezó a usar Zip Bomb.

Desarrollo

  • ¿Qué es una Zip Bomb?

    • Es un archivo comprimido pequeño que, al descomprimirse, se expande a un tamaño muy grande.
    • Un archivo comprimido de 1 MB puede expandirse a 1 GB, y uno de 10 MB a 10 GB, dejando fuera de servicio al servidor.

  • La funcionalidad gzip existente

    • En la web se usa compresión gzip para mejorar la eficiencia de transmisión.
    • La mayoría de los bots también admiten compresión gzip.

  • Cómo responder con una Zip Bomb

    • Si se determina que es un bot malicioso, se responde con 200 OK junto con un archivo Zip Bomb comprimido con gzip.
    • Al intentar abrir este archivo, el bot puede caerse o quedarse colgado en el servidor.
    • Por lo general se usa uno de 1 MB (expansión a 1 GB) o de 10 MB (expansión a 10 GB).

  • Cómo crear una Zip Bomb

    dd if=/dev/zero bs=1G count=10 | gzip -c > 10GB.gz
    • Se generan 10 GB de datos de bytes cero con /dev/zero y luego se comprimen con gzip.
    • El resultado es una zip bomb de aproximadamente 10 MB.

  • Ejemplo de aplicación en el servidor

    • Si en el middleware se detecta una IP en lista negra o un patrón malicioso, se envía la Zip Bomb.
    if (ipIsBlackListed() || isMalicious()) {  
    header("Content-Encoding: deflate, gzip");  
    header("Content-Length: "+ filesize(ZIP_BOMB_FILE_10G));  
    readfile(ZIP_BOMB_FILE_10G);  
    exit;  
}

Conclusión

  • La Zip Bomb no es una defensa perfecta.
    • Los bots sofisticados pueden detectarla y evadirla.
  • Sin embargo, contra bots básicos que hacen web crawling indiscriminado, puede ser una medida de defensa eficaz.
  • Aunque use algunos recursos del servidor, vale lo suficiente como para justificarlo por motivos de seguridad.

Lecturas relacionadas

29 comentarios

 
halfdogs 2025-05-02

Creo que puede ser una opción para probar al menos una vez si no existe una forma efectiva de bloquear bots que generan tráfico de spam.
 
ng0301 2025-04-30

Me pareció divertido de leer, como un artículo sobre darle una bomba de brillantina a un ladrón de paquetes :)
 
roxie 2025-05-04

Ese video es divertido. Es exactamente igual, jaja.
 
kandk 2025-05-01

Una publicación en internet no es un paquete propiedad de alguien.
Entonces, si fuera una propiedad privada no pública, le habrían puesto un proceso de autenticación.
Creo que se puede ver como dejar un volante en la calle y untarlo con un veneno muy tóxico.
 
jeremykim 2025-05-03

Es un concepto distinto a poner volantes envenenados con malas intenciones.
 
skrevolve 2025-04-30

No es una forma éticamente correcta. Tampoco es una solución de fondo.
 
jisang 2025-05-02

Es la primera vez que me topo con algo de este tipo, así que me pregunto cuál sería la solución fundamental.
 
2025-05-01
[Este comentario fue ocultado.]
 
kandk 2025-05-01

Estoy de acuerdo.
 
cosine20 2025-05-01

¿Los bots maliciosos serían una forma ética? jajaja
 
kandk 2025-05-01

No se puede atrapar a los bots realmente maliciosos de esta manera.
Ni siquiera funciona una bomba gzip.
Solo véanlo como que alguien escribió por diversión una publicación curiosa sobre una bomba.
 
salsa 2025-04-30

Ah, así es como hay gente que hace más difícil que se reconozca la legítima defensa, jaja...
 
jk34011 2025-04-30

¿Por qué no es una forma éticamente correcta? Tengo curiosidad.
 
roqkfwkdlqslek 2025-04-30

¡Qué texto tan divertido! Es un método que no se me habría ocurrido, ¡gracias por compartirlo!
 
crawler 2025-04-30

¿Cuál será el propósito de publicar un texto así?
No creo que realmente exista casi ninguna posibilidad de que las empresas que ejecutan crawlers lean esto y hasta decidan excluirlo.
Entonces, ¿para qué tipo de lectores fue escrito este texto?
¿Es un artículo introductorio para contarles a otras personas que también manejan blogs que existe este método,
o es una provocación de “mi blog está así de bien protegido, así que intenten rastrearlo si pueden”?
De verdad me da mucha curiosidad qué se gana con publicarlo.
 
2025-05-01
[Este comentario fue ocultado.]
 
yeorinhieut 2025-04-30

Quizás solo se trata de que existe este tipo de método...
 
dooboo 2025-04-30

Es un blog personal, ¿acaso no puedo escribir cualquier cosa? 🤔
 
crawler 2025-04-30

Claro, como no es un lugar público, quizá solo lo publicó sin pensarlo mucho.
Igual que en una comunidad uno puede dejar un comentario sin pensarlo demasiado.
Como no puedo bloquear por completo a los rastreadores, lo ideal sería ni siquiera aceptar sus intentos, así que me dio curiosidad cuál era la intención detrás de provocar.
 
j2sus91 2025-04-30

Entonces, si determinan que es un bot por la IP, también le van a lanzar la bomba, jaja.
Se nota el enojo del autor, jaja.
 
kandk 2025-04-30

La idea es regalarle una bomba a las solicitudes donde el agent llega diciendo que es un bot...
Es demasiado malintencionado. De todos modos, el agent se puede ocultar fácilmente. Si es un bot realmente malicioso, no va a mostrar sus malas intenciones.
 
qyurila 2025-04-30

Últimamente se ven de vez en cuando casos de daños causados por tráfico excesivo proveniente de servicios conectados con LLM, así que en realidad también parece una medida que podría servir para ese tipo de situaciones. Por ejemplo, al ver la función de búsqueda web de ChatGPT y similares, por las características de su base de usuarios hay bastante margen para que se genere tráfico excesivo "no malicioso", y he oído que a esos casos se les puede filtrar fácilmente con una simple coincidencia de agente. Si esa es de verdad la intención, al final solo sería una forma de malgastar los costos de servidores de OpenAI (¿y su reputación?)..
 
kandk 2025-05-01

Así que es un texto sin sentido.
 
galadbran 2025-05-01

OpenAI ya es una empresa lo suficientemente grande como para tener ese nivel de cortesía, supongo.
Y además, creo que sería difícil que se generara un tráfico tan problemático solo porque los usuarios hagan clic directamente en los resultados de búsqueda; ¿no será más bien que el problema es que el rastreador está funcionando de forma demasiado agresiva?
 
doolayer 2025-04-30

Estoy de acuerdo en que, ya sea el User-Agent que mencionas o la detección basada en IP de la que habla el texto original, como la información de identificación puede disfrazarse, es difícil determinar con certeza si algo es malicioso. Los bots realmente maliciosos probablemente se acercarían de forma más astuta.
Creo que, más que este tipo de ataques, sería un "empujoncito" más realista ofrecer una API de rastreo con limitación de carga, para permitir accesos automatizados legítimos mientras se protegen los recursos del servidor. jaja
 
kandk 2025-05-01

Ya existe algo como bots.txt en lo que todos habíamos estado de acuerdo desde hace mucho tiempo..
 
twiddlingguidable 2025-05-02

Es un comentario no relacionado con este artículo, pero me parece que últimamente han aumentado de forma notable algunos usuarios que dejan comentarios malintencionados en hada, que suelo visitar. Siento que el ambiente ha cambiado bastante en comparación con la época en la que no había comentarios o solo había unos pocos.

Personalmente, creo que estaría bien que hubiera una función de bloqueo, o una función que ponga los comentarios en gris cuando reciban varios reportes.
 
roxie 2025-05-04

Se presume que a los usuarios con muchas recomendaciones se les otorgan ese tipo de funciones.
 
chcv0313 2025-05-03

2222222222222222