Usare Google Spreadsheet per sferrare un DDOS verso qualsiasi sito web.

google-docs-logowtitleGoogle utilizza il suo crawler FeedFetcher per il caching di tutto ciò che viene messo all’interno = image (“link”) in un foglio di calcolo.

Ad esempio:

Se mettiamo = image (“http://example.com/image.jpg”) in una delle celle di Google Spreadsheet, Google invierà il crawler FeedFetcher per recuperare l’immagine e salvarla nella cache per visualizzarla.

Tuttavia, si può aggiungere parametro di richiesta casuale al nome del file e dire a FeedFetcher di caricare lo stesso file più volte.

Si potrebbe caricare in un foglio di calcolo di Google Spreadsheet un link a un file PDF (ad esempio di 10 Megabyte) per 1000 volte di seguito e “obbligare” il crawler di Google il recupero “forzato” dello stesso file ben 1000 volte di seguito, causando in questo modo un traffico davvero elevato.

=image("http://targetname/file.pdf?r=0")
=image("http://targetname/file.pdf?r=1")
=image("http://targetname/file.pdf?r=2")
=image("http://targetname/file.pdf?r=3")...
=image("http://targetname/file.pdf?r=1000")

Aggiungendo il parametro casuale, ogni link viene trattato come diverso da Google che esegue la scansione più volte causando una perdita di traffico in uscita per il proprietario del sito. Così chiunque utilizzi un browser, con l’apertura di poche schede sul suo PC può inviare enorme HTTP GET flood ad un server web.


Qui, l’attaccante non necessita di una grande larghezza di banda. L’attaccante chiede a Google di inserire il link dell’immagine nel foglio di calcolo, Google recupera 10 MB di dati dal server, ma dal momento che è un file PDF (file non-immagine), l’attaccante non prende e non visualizza nulla da Google. Questo tipo di flusso di traffico permette chiaramente una pericolosissima e grandissima amplificazione e può essere un vero e proprio disastro per il sito web vittima dell’attacco DDOS.


Utilizzando un solo computer portatile con più schede aperte e limitandosi a copiare ed incollare più link ad un file di 10 mb, Google è riuscito a scaricare lo stesso file a 700 + mbps. Questa 600-700 mbps scaricati da Google è continuato per 30-45 min. e a quel punto ho messo down il server.

Facendo correttamente i conti, sono stati scaricati oltre 240 GB di dati in appena 45 minuti.

google-spreadheet-ddos

Con solo un po’ di più carico, penso che l’uscita raggiungerebbe il Gbps e il traffico in entrata raggiungerebbe almeno 50-100 mbps. Posso solo immaginare i numeri quando più attaccanti utilizzeranno questo stratagemma. Google utilizza più indirizzi IP per eseguire la scansione e, anche potendo bloccare la User Agent FeedFetcher per evitare questi attacchi, la vittima dovrà modificare la configurazione del server e, in molti casi potrebbe essere troppo tardi se questo attacco non viene anticipato passando inosservato. L’attacco DDOS potrebbe essere facilmente prolungato per ore ed ore solo a causa della sua facilità d’uso.