Wie ein DDoS-Angriff: Mastodons Link-Vorschau überlastet Webserver
Die Link-Vorschau des dezentralen Mikroblogging-Dienstes Mastodon scheint einige Webserver vorübergehend zu überlasten, wenn Nutzer mit hoher Reichweite im Fediverse einen neuen Inhalt von der Webseite teilen, die über den jeweiligen Server bereitgestellt wird. Das geht aus einem Bericht von It's Foss News(öffnet im neuen Fenster) hervor, in dem das Verhalten mit einem DDoS-Angriff verglichen wird.
Das auf Open-Source-Projekte spezialisierte News-Portal hat demnach selbst mit entsprechenden Problemen zu kämpfen. Ursache ist der Umstand, dass die für eine Link-Vorschau nötigen Inhalte nicht nur von einer einzelnen Mastodon-Instanz abgefragt werden. "Es gibt viele Instanzen, die mit ihr verbunden sind und die ebenfalls unmittelbar Anfragen für den Inhalt senden" , heißt es in dem Bericht.
Wie groß die Anfragenflut dabei ausfällt, scheint unter anderem von der Anzahl der Follower des Mastodon-Accounts, der den Inhalt teilt, abzuhängen. Je mehr Follower der Nutzer hat, desto mehr Mastodon-Instanzen , bei denen diese Follower registriert sind, rufen vom Webserver die für die Link-Vorschau erforderlichen Informationen ab.
Anfragenflut mündet in kurzen Ausfallzeiten
It's Foss News weist darauf hin, dass der Server des Portals auch dann viele Anfragen erhalte, wenn ein Beitrag auf anderen Plattformen stark verbreitet werde. Zu einer kurzen Ausfallzeit komme es jedoch nur nach dem Teilen eines Beitrags auf Mastodon. Die Webseite reagiere daraufhin für einige Sekunden nicht und zeige einigen Besuchern den Fehler "504 Gateway Timeout" an. Pro Tag summierten sich diese Ausfallzeiten auf mehrere Minuten.
In dem Bericht wird auch auf frühere Untersuchungen des Sicherheitsforschers Chris Partridge verwiesen. Dieser wies schon Ende 2022 auf das Problem hin(öffnet im neuen Fenster) und das Ausmaß des entstehenden Datenverkehrs anhand eines eigens auf Mastodon geteilten Beitrags beispielhaft berechnet.
Dabei stellte Partridge fest, dass ein einzelner Post-Request bei Mastodon innerhalb weniger Minuten 1.147 Get-Requests auf seinen Webserver zur Folge hatte. Während der Post-Request gerade einmal 3 KByte groß war, summierten sich die Get-Requests auf insgesamt 114,7 MByte. "Das ergibt eine Traffic-Verstärkung von 36704:1" , so Partridge. Und das sei mehr als genug, um schlecht angebundene Webseiten oder solche mit serverseitigem Rendering zu überlasten.
Bekannt ist das Problem schon seit mehr als sechs Jahren, wie einem Github-Issue von August 2017(öffnet im neuen Fenster) zu entnehmen ist. Eigentlich sollte es mit Version 4.3.0(öffnet im neuen Fenster) von Mastodon gelöst werden. Erst vor wenigen Tagen wurde die Lösung jedoch auf Version 4.4.0 verschoben(öffnet im neuen Fenster) . Wann diese veröffentlicht wird, ist noch nicht absehbar.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.