【发布时间】:2025-12-28 21:20:19
【问题描述】:
我注意到许多网络应用程序没有针对静态资产(例如 img/fonts)的授权保护。你可以通过十亿次询问其徽标图像来对这些服务器进行 ddos 攻击吗?
【问题讨论】:
标签: ddos
【发布时间】:2025-12-28 21:20:19
【问题描述】:
通常它们由单独的基础架构提供服务,即使它们共享一个域。在这种情况下,只要您没有发送足够的流量来破坏负载均衡器,就很难搞砸实际的 API 端点。
也就是说,是的,您可以通过请求静态资产来引发 DDoS。您甚至可以在应用程序层以下通过使用虚假、欺骗性的 UDP 流量来淹没您的目标来做到这一点。这实际上是此类攻击的常见表现方式,因为存在使用不安全的 3rd 方服务器来放大此流量的方法,而这对于 HTTP 请求来说要困难得多。
公众可以做的任何使用任何资源的事情都可以扩展为 DDoS。唯一的问题是目标能否承受或减轻攻击。
【讨论】: