Saya menggunakan ZIP bomb untuk melindungi server saya

 (idiallo.com)
36 poin oleh baeba 2025-04-30 | 29 komentar | Bagikan ke WhatsApp

Pendahuluan

  • Sebagian besar trafik internet adalah bot, dan sebagian di antaranya memiliki tujuan jahat (spam, peretasan, dll.).
  • Penulis pernah mengalami kerugian karena bot, seperti server WordPress terinfeksi atau dikeluarkan dari hasil pencarian Google.
  • Untuk mencegah hal ini, ia mulai menggunakan Zip Bomb.

Isi

  • Apa itu Zip Bomb?

    • File terkompresi berukuran kecil, tetapi saat diekstrak akan membesar menjadi ukuran yang sangat besar.
    • File terkompresi 1MB bisa membesar menjadi 1GB, dan 10MB menjadi 10GB, sehingga melumpuhkan server.

  • Fungsi gzip yang sudah ada

    • Di web, kompresi gzip digunakan untuk efisiensi pengiriman.
    • Sebagian besar bot juga mendukung kompresi gzip.

  • Cara penanggulangan dengan Zip Bomb

    • Jika dinilai sebagai bot berbahaya, server merespons dengan 200 OK bersama file Zip Bomb yang dikompresi gzip.
    • Saat file ini dibuka, bot bisa crash atau berhenti di servernya sendiri.
    • Umumnya digunakan ukuran 1MB (ekspansi 1GB) atau 10MB (ekspansi 10GB).

  • Cara membuat Zip Bomb

    dd if=/dev/zero bs=1G count=10 | gzip -c > 10GB.gz
    • Membuat data 0 byte sebesar 10GB dengan /dev/zero, lalu mengompresinya dengan gzip.
    • Hasilnya adalah zip bomb berukuran sekitar 10MB.

  • Contoh penerapan di server

    • Jika middleware mendeteksi IP blacklist atau pola berbahaya, kirim Zip Bomb.
    if (ipIsBlackListed() || isMalicious()) {  
    header("Content-Encoding: deflate, gzip");  
    header("Content-Length: "+ filesize(ZIP_BOMB_FILE_10G));  
    readfile(ZIP_BOMB_FILE_10G);  
    exit;  
}

Kesimpulan

  • Zip Bomb bukan solusi pertahanan yang sempurna.
    • Bot yang canggih dapat mendeteksinya dan menghindarinya.
  • Namun, untuk bot murahan yang melakukan crawling web secara membabi buta, ini adalah sarana pertahanan yang efektif.
  • Meski memakai sebagian resource server, pendekatan ini cukup layak demi keamanan.

Bacaan terkait

29 komentar

 
halfdogs 2025-05-02

Saya rasa ini adalah metode yang layak dicoba setidaknya sekali jika tidak ada cara yang efektif untuk memblokir bot yang menghasilkan trafik spam.
 
ng0301 2025-04-30

Rasanya seperti membaca tulisan tentang memberi bom glitter kepada pencuri paket, jadi seru untuk dibaca :)
 
roxie 2025-05-04

Video itu lucu, ya. Mirip sekali dengan itu wkwk
 
kandk 2025-05-01

Tulisan di internet bukanlah paket milik seseorang.
Kalau itu benar-benar milik pribadi yang tidak boleh dibuka untuk umum, tentu akan diberi prosedur autentikasi.
Kurang lebih mirip seperti menaruh selebaran di pinggir jalan lalu melapisinya dengan racun mematikan.
 
jeremykim 2025-05-03

Ini konsep yang berbeda dengan menempelkan selebaran beracun untuk tujuan jahat.
 
skrevolve 2025-04-30

Secara etis ini bukan cara yang baik. Dan juga bukan solusi yang mendasar.
 
jisang 2025-05-02

Saya baru pertama kali menemukan kasus seperti ini, jadi saya penasaran apa solusi mendasarnya!!
 
2025-05-01
[Komentar ini disembunyikan.]
 
kandk 2025-05-01

Saya setuju
 
cosine20 2025-05-01

Bot jahat itu pakai cara yang etis, ya? wkwk
 
kandk 2025-05-01

Bot yang benar-benar berbahaya tidak bisa ditangkap dengan cara seperti ini.
Bahkan bom gzip juga tidak mempan.
Anggap saja ada orang yang tidak dikenal menulis satu postingan tentang bom yang lucu.
 
salsa 2025-04-30

Orang-orang seperti ini rupanya yang membuat pembelaan diri yang sah jadi sulit diakui wkwk...
 
jk34011 2025-04-30

Apa alasan ini dianggap tidak etis? Saya penasaran.
 
roqkfwkdlqslek 2025-04-30

Tulisan yang menarik! Ini metode yang tidak terpikirkan sebelumnya, terima kasih sudah membagikannya!
 
crawler 2025-04-30

Apa tujuan mengunggah tulisan seperti ini?
Saya rasa hampir tidak mungkin perusahaan yang benar-benar menjalankan crawler membaca tulisan ini lalu sampai mengecualikan situs tersebut.
Kalau begitu, tulisan ini sebenarnya ditujukan untuk pembaca seperti apa?
Apakah ini sekadar tulisan pengenalan untuk memberi tahu sesama pengelola blog bahwa ada metode seperti ini,
atau semacam provokasi yang bilang keamanan blog saya sekuat ini, jadi kalau bisa coba saja di-crawl?
Saya benar-benar penasaran apa yang didapat dengan mengunggah tulisan ini
 
2025-05-01
[Komentar ini disembunyikan.]
 
yeorinhieut 2025-04-30

Mungkin cuma menunjukkan bahwa cara seperti ini memang ada..
 
dooboo 2025-04-30

Ini blog pribadi, memangnya tidak boleh menulis apa saja? 馃
 
crawler 2025-04-30

Tentu saja, karena itu bukan tempat publik, mungkin itu hanya tulisan yang diunggah tanpa terlalu banyak dipikirkan.
Sama seperti di komunitas orang bisa meninggalkan komentar tanpa terlalu banyak berpikir.
Karena saya tidak bisa sepenuhnya memblokir crawler, yang terbaik adalah tidak menerima percobaan itu sejak awal, jadi saya penasaran dengan niat di balik upaya menarik perhatian tersebut.
 
j2sus91 2025-04-30

Jadi kalau dinilai bot berdasarkan IP, artinya dia juga akan mengirim bom ZIP, ya wkwk.
Terasa sekali kemarahan penulisnya. wkwk
 
kandk 2025-04-30

Maksudnya, dia akan menghadiahi permintaan yang datang dengan mengaku sebagai bot dengan sebuah bom..
Terlalu berniat jahat. Bagaimanapun, agent bisa dengan mudah disembunyikan. Jika itu bot yang benar-benar berniat jahat, ia tidak akan menampakkan niat jahatnya.
 
qyurila 2025-04-30

Belakangan ini sesekali terlihat kasus kerugian akibat trafik berlebihan dari layanan yang terhubung dengan LLM, dan rasanya ini pada dasarnya juga bisa dilihat sebagai salah satu cara menghadapi jenis situasi seperti itu. Misalnya, jika melihat fitur pencarian web ChatGPT dan sejenisnya, mengingat karakteristik kumpulan penggunanya, ada cukup banyak kemungkinan timbulnya trafik berlebihan yang "tidak berniat jahat", dan saya dengar mereka cukup mudah disaring dengan pencocokan agen sederhana. Kalau ini memang benar tujuannya, pada akhirnya yang terkuras cuma biaya server OpenAI (dan reputasinya?) saja..
 
kandk 2025-05-01

Jadi ini tulisan yang tidak berarti.
 
galadbran 2025-05-01

OpenAI memang sudah merupakan perusahaan yang cukup besar sehingga setidaknya bisa menjaga etika seperti itu(?).
Dan mungkin juga kecil kemungkinan lalu lintas yang membebani akan terjadi hanya karena pengguna mengklik langsung hasil pencarian; bukankah masalahnya justru crawler yang bekerja terlalu berlebihan?
 
doolayer 2025-04-30

Saya setuju bahwa, baik itu User-Agent yang Anda sebutkan maupun deteksi berbasis IP yang disebut di tulisan asli, sulit memastikan apakah sesuatu itu berbahaya karena informasi identitas semacam itu bisa disamarkan. Bot yang benar-benar berniat jahat tentu akan mendekat dengan cara yang lebih licik.
Menurut saya, daripada serangan seperti ini, mungkin pendekatan "nudge" yang lebih realistis adalah menyediakan API crawling dengan pembatasan beban agar akses otomatis yang sah tetap diizinkan sambil melindungi sumber daya server. hehe
 
kandk 2025-05-01

Sebenarnya kita sudah punya semacam bots.txt yang sudah lama kita sepakati..
 
twiddlingguidable 2025-05-02

Ini komentar yang tidak terkait dengan artikel ini, tetapi belakangan saya merasa ada beberapa pengguna yang menulis komentar jahat di hada yang sering saya baca, dan jumlahnya terlihat meningkat cukup jelas. Suasananya tampak sangat berbeda dibanding masa ketika hampir tidak ada komentar atau hanya ada beberapa komentar.

Secara pribadi, saya rasa akan bagus jika ada fitur blokir, atau fitur yang membuat komentar menjadi abu-abu setelah menerima banyak laporan.
 
roxie 2025-05-04

Kemungkinan pengguna yang menerima banyak rekomendasi diberi fitur seperti itu.
 
chcv0313 2025-05-03

2222222222222222