学到了，通过User-Agent禁止机器人并返回炸弹

hjvn2211445 · 发表于 2021-4-13 19:22:31

本帖最后由 hjvn2211445 于 2021-4-14 12:45 编辑

以前只知道直接禁了垃圾bot

今天看caddy发现有个http.nobots
nobots保护你的网站免受网络爬虫和机器人。

可以直接给特定UA返回一个炸弹。~~还可以用到其他防爬虫的地方，直接给它返回大文件，啥404/403不香了~~

1G炸弹压缩一次就剩1M，~~他请求就会解压成1G~~
压两次就3k

理解错了，是不会炸开的，请求还是1M，但是数据量是1G，
大概专门对付蜘蛛，蜘蛛爬完要去读就会读到1G 000000000数据的意思吧，应该很容易就被过滤了吧

我做了一下大概这样，
生成了一个网页a.html（25M的）
for i in {1..1000000};do echo "这谁顶得住啊x$i" >> a.html;done

gzip a.html得到 a.html.gz的文件2.7M

设置UA包含b(B)ot 或 Mobile 就返回这个
手机访问一次网页大小2.7M。但包含25M的数据量，蜘蛛会分析页面，这样看是恶心一下蜘蛛和消耗一下读取文件的所需的内存
不知道有没其他骚应用（或者可以搞点啥js 无限循环崩溃,跳转大文件，或者啥请求过快返回这个那样的）

http://45.62.238.160:30001/

如何制造炸弹
插件中未提供炸弹，因此您必须创建一个炸弹。在Linux中，这确实很容易，您可以使用以下命令。

dd if=/dev/zero bs=1M count=1024 | gzip > 1G.gzip
dd if=/dev/zero bs=1M count=10240 | gzip > 10G.gzip
dd if=/dev/zero bs=1M count=1048576 | gzip > 1T.gzip
为了优化最终炸弹，您可以压缩零件几次：

cat 10G.gzip | gzip > 10G.gzipx2
cat 1T.gzip | gzip | gzip | gzip > 1T.gzipx4
注意：扩展名.gzipx2或.gzipx4只是突出显示文件被压缩了多少次。

h20 · 发表于 2021-4-13 20:00:43

提示: 作者被禁止或删除内容自动屏蔽

mika. · 发表于 2021-4-13 19:23:38

这个操作好骚啊

loukky · 发表于 2021-4-13 19:24:21

我靠你好狠…

所長 · 发表于 2021-4-13 19:24:35

mark一下

百度网盘 · 发表于 2021-4-13 19:25:23

这个厉害，学习一下

Galileo · 发表于 2021-4-13 19:27:13

先马克，以后用得上

Chriss · 发表于 2021-4-13 19:28:08

这也太狠了。

z6045670 · 发表于 2021-4-13 19:28:50

你太坏了我得防范点

lspro · 发表于 2021-4-13 19:29:48

学习学习

envoy · 发表于 2021-4-13 19:33:33

z6045670 发表于 2021-4-13 19:28
你太坏了我得防范点

你头像太坏了，我得问你车牌

		自动登录	找回密码
密码			注册

h20 h20 当前离线积分 19897	发表于 2021-4-13 20:00:43 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
h20 h20 当前离线积分 19897
	回复支持 1 反对 1 举报