सर्वर सुरक्षा के लिए Zip Bomb का उपयोग

 (idiallo.com)
2 पॉइंट द्वारा GN⁺ 2025-04-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • वेब ट्रैफ़िक का अधिकांश हिस्सा bots से आता है, और इनमें से कुछ का उपयोग दुर्भावनापूर्ण उद्देश्यों के लिए किया जाता है
  • Zip Bomb एक छोटी compressed file होती है, लेकिन इसे extract करने पर यह बहुत बड़ी file में फैल सकती है और सर्वर को overload कर सकती है
  • compression तकनीक का उपयोग वेब पर डेटा को कुशलतापूर्वक ट्रांसफ़र करने के लिए किया जाता है, और bots भी इसका उपयोग करते हैं
  • जब malicious bots का पता चलता है, तो सर्वर gzip से compressed file प्रदान करके bots को निष्क्रिय कर देता है
  • Zip Bomb कोई परफेक्ट समाधान नहीं है, लेकिन साधारण bots को रोकने में प्रभावी है

Zip Bomb का उपयोग करके सर्वर की सुरक्षा करना

  • वेब ट्रैफ़िक का अधिकांश हिस्सा bots से आता है, और इनमें से कुछ का उपयोग दुर्भावनापूर्ण उद्देश्यों के लिए किया जाता है
  • malicious bots सर्वर की कमजोरियों का पता लगाकर malicious scripts इंजेक्ट कर सकते हैं और सर्वर को botnet में बदल सकते हैं
  • Zip Bomb एक छोटी compressed file होती है, लेकिन इसे extract करने पर यह बहुत बड़ी file में फैल सकती है और सर्वर को overload कर सकती है

compression तकनीक का उपयोग

  • gzip वेब पर डेटा को कुशलतापूर्वक ट्रांसफ़र करने के लिए इस्तेमाल होने वाली compression तकनीक है
  • web browsers और bots दोनों gzip compression को सपोर्ट करते हैं, और इसके ज़रिए bandwidth का अधिकतम उपयोग करते हैं
  • जब malicious bots का पता चलता है, तो सर्वर gzip से compressed file प्रदान करके bots को निष्क्रिय कर देता है

Zip Bomb बनाने का तरीका

  • dd कमांड का उपयोग करके 10GB डेटा बनाया जाता है, फिर उसे gzip से compress करके 10MB file बनाई जाती है
  • सर्वर जब malicious requests का पता लगाता है, तो bots को निष्क्रिय करने के लिए 10MB की Zip Bomb file प्रदान करता है

Zip Bomb की सीमाएँ

  • Zip Bomb कोई परफेक्ट समाधान नहीं है, और कुछ bots इसे पहचानकर bypass कर सकते हैं
  • लेकिन यह साधारण bots को रोकने में प्रभावी है और सर्वर सुरक्षा के लिए उपयोगी tool है

संबंधित लेख

  • 1.3 मिलियन web requests को संभालने का तरीका
  • Apache server signature बदलना
  • Google Analytics में Do Not Track का पालन करना

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-04-30
Hacker News राय
  • बचपन में मज़ाक में मैंने अपनी होमपेज पर ln -s /dev/zero index.html लगाया था। उस समय ब्राउज़र को यह बिल्कुल पसंद नहीं था, और सिस्टम रुक जाता था या क्रैश भी हो जाता था
    • बाद में ब्राउज़र ने असली कंटेंट की जाँच शुरू कर दी, इसलिए इस तरह के अनुरोध रोक दिए गए
  • आजकल लगभग सभी ब्राउज़र zstd और brotli को सपोर्ट करते हैं, इसलिए इस तरह के बम और ज़्यादा असरदार हो सकते हैं
    • पहले की एक टिप्पणी में 1.2M:1 compression ratio दिखाया गया था, और zstd उससे भी बेहतर प्रदर्शन करता है
  • हो सकता है कि bots आधुनिक compression standards को सपोर्ट न करते हों
    • यह bots को ब्लॉक करने का अच्छा तरीका हो सकता है: क्योंकि सभी आधुनिक ब्राउज़र zstd को सपोर्ट करते हैं, इसलिए whitelist में न होने वाले browser agents पर इसे force करके scrapers को भ्रमित किया जा सकता है
  • मेरी पिछली नौकरी में bots ने WordPress vulnerability ढूँढ ली थी और सर्वर में malicious script inject कर दी थी
    • यह जानकर मज़ेदार लगा कि WordPress सेटअप करने के 1 घंटे के भीतर सर्वर पर PHP shell deploy हो जाने का अनुभव सिर्फ मुझे ही नहीं हुआ था
  • zip bombs मज़ेदार होते हैं। मैंने एक बार security product में एक vulnerability खोजी थी, जिसमें वह एक निश्चित आकार से बड़े zip archive को ठीक से inspect नहीं करता था
    • इसकी वजह से अगर zip bomb को Office XML document में रखा जाए, तो उसमें आसानी से पहचाने जाने वाला malware होने पर भी product उसे pass कर देता था
  • मैंने ssh का उपयोग करके root password guess करने की कोशिश कर रहे ssh clients को crash कराने का तरीका ढूँढ निकाला था
    • नतीजतन script kiddies ने मेरे सर्वर पर ddos हमला किया
    • फिर मैंने 'bad actors' की पहचान करके firewall rules से उनके IP block करने के तरीके पर स्विच किया
    • IPV6 की वजह से यह लगातार और मुश्किल होता जा रहा है
  • वेब पेज बनाने वाले लोग इंसानों को न दिखने वाले लिंक के रूप में zip bomb बना सकते हैं (सफेद बैकग्राउंड पर सफेद टेक्स्ट, hover/click anchor पर कोई highlight नहीं)
    • bots इसे डाउनलोड करके जाँचते हैं (crawlers और AI scrapers भी यही करते हैं)
  • यह एक gzip bomb है (यह सामान्य compressed web page की तरह काम करता है), वायरस रोकने वाली पारंपरिक zip file नहीं
  • सामान्य honeypot script की जगह मैंने इसे deploy किया था
    • यह बहुत अच्छा काम नहीं करता
    • web server logs में देखा जा सकता है कि bots 10 मेगाबाइट का पूरा ज़हर डाउनलोड नहीं करते
    • वे अलग-अलग लंबाई पर रुक जाते हैं। अब तक मैंने उन्हें लगभग 1.5Mb से ज़्यादा लेते नहीं देखा
    • या शायद यह काम कर रहा हो? क्या वे stream को real time में decode करके crash हो रहे हैं? उदाहरण के लिए, क्या 1.5Mb पढ़े जाने के रूप में रिकॉर्ड हुआ डेटा real time में RAM में 1.5Gb तक decode होकर crash कर सकता है?
    • यह जानने का कोई तरीका नहीं है
  • कुछ समय पहले Tor Project की censorship circumvention infrastructure के साथ एक घटना हुई थी, जो zip bombs पर एक ब्लॉग पोस्ट जैसे साइट पर चल रही थी
    • Google ने zip files में से एक को crawl करके malicious domain list में जोड़ दिया, और Tor के Snowflake tool का एक महत्वपूर्ण हिस्सा प्रभावित हो गया
    • समस्या को ठीक करने में कई हफ्ते लगे
  • अपने एक application में uploads को सुरक्षित रखने के लिए मैंने 10MB आकार की fixed-size temporary disk partition बनाई, ताकि बहुत बड़ी file upload होने पर उसका असर सीमित रहे
  • मैं कई सालों से जोड़े गए scripts के साथ मिलते-जुलते काम करता रहा हूँ
    • हर साल 404 logs देखता हूँ और सबसे लोकप्रिय vulnerability paths को blacklist में जोड़ता हूँ
    • अगर कोई URL को 3 बार request करता है, तो उस host को graylist में डाल देता हूँ जहाँ सिर्फ सीमित वैध paths की अनुमति होती है