我注意到很多网络应用都没有围绕静态资产(例如img / fonts)进行授权保护。您可以通过仅仅询问其徽标图像十亿次来为这些服务器编写代码吗?
答案 0 :(得分:0)
通常这些服务由单独的基础架构提供服务,即使它们共享域。在这种情况下,只要您没有发送足够的流量来敲击负载均衡器,就很难搞砸实际的API端点。
那就是说,是的,您可以通过请求静态资产来导致DDoS。您甚至可以在应用程序层下面执行此操作,例如使用虚假,欺骗,UDP流量淹没您的目标。事实上,这是此类攻击的常见方式,因为存在使用不安全的第三方服务器放大此流量的方法,这对于HTTP请求来说要困难得多。
任何公众可以使用任何资源的东西都可以扩展为DDoS。唯一的问题是目标是否能够抵御或减轻攻击。