受到启发将 1GB 的文件压缩成 200_MB?以及相关评论:
当今许多网络服务器都使用压缩的 HTTP 版本(据我所知是 Gzip)。
Apache 或任何其他服务器如何应对 zip 炸弹?由于文件是压缩的,因此只需发送准备好的文件,目标服务器就会将其提取到几 GB/TB?或者以某种方式阻止了这种情况?什么时候、如何阻止?
我希望不会因为这个问题而看到互联网崩溃;-)
答案1
你可以绝对肯定,有人会花费大量时间试图从外部使 Apache Web 服务器崩溃,就像你可以肯定Apache 软件基金会花费大量时间测试他们的软件以确保这种类型的攻击不会成功。
为了专门回答你的问题;Apache 使用mod_deflate压缩和解压发送和接收的数据。因此,这里的目标不是 Apache,而是用于处理压缩文件的模块。
鉴于 zip 炸弹是一种众所周知的攻击媒介,并且有可能制作包含恶意形成的 zip 对象的请求,因此这种类型的攻击将会失败。
你可以肯定,一旦有人找到以这种方式进行攻击的方法,问题将在很短的时间内被发现和修补。
一些应用程序有特定的检测程序来检测和处理 zip 炸弹。