wgetコマンドって嫌がらせに使えちゃうじゃん→なんか対策ないのか

wget → 嫌がらせにピッタリじゃん

wgetコマンドって調べれば調べるほど「嫌がらせにぴったりなコマンドだな・・」という気がしてしまうのですが

そう思うのでは私だけでないですよね。。

 

例えば↓のコマンドだけでも「サイト全部ぶっこ抜く」みたいなことができてしまうので、嫌がらせ相手のサーバーの負荷&転送量を大幅に消費させることができるし

wget -r -l 0 https://test.com

#-r:再帰オプション
#-l 0:限界まで再帰するオプション

 

もっと言えば以下のようなシェルスクリプトを書けば、↑の嫌がらせを永遠に自動実行させることができるちゃいますよね。

while true #永遠にループ
do
wget -r -k -l 0 https://test.com #ダウンロード
rm -rf test.com #ダウンロードしたフォルダを削除
done

もちろん実際にこれを行うと「偽計業務妨害」などの犯罪になると思うのですが

知識のない人が攻撃相手なら「こういう攻撃をされてること自体気づかない」ので、気づかれない範囲でこっそり攻撃すればまずバレないですよね・・。

wgetの対策は?

「wgetによるアクセスって防げるのかな」と調べた結果、

  • UAでアクセス制限
    →wgetからのアクセスには「wget」というUAになるらしいので、「wget」というUAが付いているアクセスは全部遮断する
  • IPでアクセス制限
    →wgetしてくる奴のIPを記録して、そのIPからのアクセスを遮断する

くらいしか有用な対策がないのですね・・。

 

しかもこれらの方法は以下のように簡単に対策できてしまうので、ほとんど意味がないという・・。

  • UAでアクセス制限
    →UAを偽装すれば簡単に回避できる(wgetにはUAを変更するための-Uオプションもある)
  • IPでアクセス制限
    →ルーターを再起動するなりしてIPをリセットすれば簡単に回避できる

Amazonのサイトですら、UAを変えるだけでwgetでぶっこ抜きできましたからね。。

 

まぁ結局、誰でも見れる「ウェブサイト」という形で公開している以上、こういう嫌がらせは防ぎようがないってことですね・・。

大事なのは「攻撃をされたことに気付けるか」ですね。

業務に支障が出るレベルの攻撃された場合は相手を訴えれば良いわけなので。(wgetみたいに1つのPCからの攻撃の場合は防げますけど、DDosのような攻撃の場合は相手を特定することすらできないので「お手上げじゃん」って感じですが・・)

 

おわり

Linux
スポンサーリンク
この記事を書いた人
penpen

1991生まれ。WEBエンジニア。

技術スタック:TypeScript/Next.js/Express/Docker/AWS

フォローする
フォローする

コメント

タイトルとURLをコピーしました