当大量恶意请求攻击某个接口时,会影响正常用户的使用,怎么应对这种情况?

最新推荐文章于 2023-12-20 09:20:42 发布
最新推荐文章于 2023-12-20 09:20:42 发布
阅读量1.4k 收藏
点赞数
分类专栏: 心得 文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ch_en_x/article/details/115764145
版权

这里要解决两个问题:

1、高并发;

2、如何识别恶意用户

 

高并发是一个概念,很难讲请求量达到多少就是高并发。理论上每个接口都会出现高并发。实际上,我们只关心一些热点业务的并发数,这个和硬件、业务的复杂程度、容器节点数都有关。处理高并发的常规操作就是扩容和缓存,里面的操作细节就先不讲。

 

如何识别恶意用户?

实际中,程序员什么情况下意识到被攻击了?一般都是等用户反馈说应用访问很卡之类的,查看检查日志发现大量报错,因此在这里就突出了日志的重要性。但是有些人喜欢写continue或return,没有抛错或者记录日志,就无从下手了。这种事情也是经一戳长一智,没有意识到这个问题,就不会处理,提前写好日志,或者做接口监控,统计接口的访问次数和访问IP,设置黑名单。回到现实,你的应用有没有被攻击的价值?

南陈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接口响应过慢的原因排查
qq_41633668的博客
07-24 3715
最近一次的项目体验,手机用户在训练完成之后,有服务器超的提示,在用户量大的候,每晚的7-9点间段发生的尤为频繁,所以作了一些的排查。 排查的顺序乃是这样的: 确定是哪个接口存在性能问题 确定这个接口的内部逻辑是怎样的,做了哪些事情 分析接口存在性能问题的根本原因 寻找确立优化方案 回归验证方案效果 首先哪个接口的话,代码当中马上就找到了,立刻开始确定里面的逻辑,这一下就发现了问题了,里面的逻辑随着业务的增加,这里面变得越来越臃肿,包括对多张表的查询、几张表的更新与新增,这一下就看到了,可
尚硅谷springcloud2020day14(p112-119)
cfy的博客
12-17 98
今天是2020-12-17 一。线程数失败。 在配置qps限制流控规则,也可以选择线程数限制。注意qps是限制的每秒请求接口的数量,而线程数限制了处理该请求的线程数量。当处理对该接口请求的线程数达到限制以后,后面的请求默认直接快速失败,返回提示信息。 可以说,qps限制了调用者的数量,线程数限制了处理调用者的线程数量。 二。流控模式-关联 假设接口A关联接口B,那么当对B接口的调用达到阈值以后,就对A接口限流,这样可以防止因为B处于繁忙同导致A的调用产生问题。简单里说就是,一旦关联的接口请求数达到阈
APM监控-应用程序优化案例:接口恶意攻击,产生大量调用
tjiyu的博客
10-29 1061
一、问题 Tomcat不停重启,数据库连接池动都不动就满了; 死链接超多。 二、监控现象 内存使用、GC情况正常; 数据库连接池用完,总体方法调用次数减少,且耗大大增加,如下图:   三、分析定位原因 内存使用、GC情况正常:         说明Tomcat运行问题不大。 数据库连接池用完,总体方法调用次数减少,且耗大大增加:         ...
API成批分配漏洞介绍与解决方案
sinat_31583645的博客
12-01 3263
批量分配:在API的业务对象或数据结构中,通常存在多个属性,攻击者通过篡改属性值的方式,达到攻击目的。比如通过设置user.is_admin和user.is_manager的值提升用户权限等级;假设某API的默认接口调用参数为{"user_name":"user","is_admin":0},而恶意攻击者修改请求参数,提交值为{"user_name":"attacker","is_admin":1},通过修改参数is_admin的值来提升为管理员权限。
爬虫与反爬-B站接口安全的风控介绍
最新发布
weixin_45583158的博客
12-20 1476
1、接口反爬背景接口反爬,或者说更广义的接口安全,一直以来都是网站和app绕不开的基础问题。尤其是平台的规模扩大,各种功能性的接口包含的信息量越来越多,这也让各种目的的脚本爬虫有了获利的空间和爬取数据的动力。而对于一个平台而言,爬虫流量不同于正常流量,基本上无法带来正向的效益(除了搜索引擎爬虫尚且有推广平台的效果),它们对平台的危害是多方面的:(1)对平台开发和运维,爬虫大量恶意请求极大地占用了...
Java】如何从代码角度解决接口重复(恶意)请求
weixin_43799133的博客
04-03 1717
​ 在我们日常开发中,尤其是需要对外提供可供公网访问的接口API有被人抓包,获取到接口地址,进行恶意/频繁访问的安全问题。解决这一问题的方法有很多种,今天给大家分享的是从代码角度,结合spring利用Redis的incr 递增函数,实现一个计数器,来解决这一问题。因为 Redis 并没有专用的整数类型, 所以键 key 储存的值在执行 INCR 命令被解释为十进制 64 位有符号整数。​ 利用Redis的incr的原子递增特性,可以对接口访问做一个访问限制。
怎么防止接口恶意地多次请求
weixin_68750962的博客
02-16 3744
这是因为服务器在处理大量请求,需要消耗更多的CPU和内存资源,而频繁的拒绝请求导致服务器花费更多的间和资源在处理这些请求上,从而影响正常的请求处理。当服务器接收到请求根据请求中的相关信息(例如请求的URL、请求的参数、请求的头部信息等)进行一系列处理,最终返回一个响应。此外,还可以考虑采用负载均衡技术,将请求分散到多台服务器上处理,以分摊服务器的负载。请求方法不支持:当客户端使用不被服务器支持的请求方法(比如使用POST请求访问只允许GET请求接口,服务器可以拒绝请求,返回405状态码。
接口-削弱请求方式
zhangximing的博客
09-04 238
接口对接过程中,接口请求过多的导致无法接入接口或出现错误,这种高压环境导致的问题就需要削弱对接口请求。 近期工作中就遇到了这么一个问题,请求量太大,一个小内大概请求接口几万次,起初采用的方法是创建一个临表存储数据,设计一个线程存储被使用接口,若接口程序在被调用,则将数据存入临表,在存入临表的同返回提示,提示数据正在处理,这样的话请求方才不因为没有响应出现问题,然后通过定作业的形式取临表参数去调用接口,如果某个数据重推,发现数据库存在这样的参数则返回提示(数据已推送过,勿重复推
前后端API接口安全问题,防止抓包恶意请求
songziqi_的博客
09-17 3956
API接口恶意请求问题 抓包
前端开发中的接口请求优化:防止频繁或恶意请求导致系统不稳定
曲江涛的博客
05-19 1560
在前端开发中,防止用户频繁或恶意请求接口导致系统不稳定是至关重要的。通过限制请求频率、使用缓存技术、实施安全机制等方法,可以有效地解决这个问题。然而,每种方法都有其利弊,需要根据具体情况进行权衡和选择。此外,还需要注意接口访问权限、输入验证、监控与日志记录以及定期更新和维护等方面,以确保系统的稳定性和安全性。综上所述,通过综合运用这些解决方案和注意事项,前端开发人员可以有效地避免用户频繁或恶意请求接口导致系统不稳定的问题,提升系统的可靠性和性能。
API接口手工防御被恶意调用和接口攻击
03-29
接口参数的加解密,通过md5加密数据+间戳+随机字符串(salt),然后将MD5加密的数据和间戳、原数据均传到后台,后台规定一个有效长,如果在该长内,且解密后的数据与原数据一致,则认为是正常请求;也可以采用...
技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击
02-25
根据安全研究专家的最新发现,网络犯罪分子们目前正在利用一种经过特殊设计的URL链接来对Gmail用户进行网络钓鱼攻击。当用户点击了恶意链接之后,攻击诱使他们输入自己的Gmail邮箱凭证,然后获取到目标用户的...
ChatGPT技术如何应对用户恶意攻击与诱导.docx
08-31
ChatGPT技术的使用教程、使用方法、使用技巧、使用注意事项、使用中常见问题
ChatGPT技术如何应对用户恶意攻击与欺骗行为.docx
08-31
ChatGPT技术的使用教程、使用方法、使用技巧、使用注意事项、使用中常见问题
使用fdldler对手机进行抓包
南陈的博客
04-14 8796
第一步:打开fiddler,点击Tools,选中第一项Fillder Options 第二步:如下图,选中对应的选框。 第三步:下载证书。点击Actions,选中第一项,下载证书。 第四步:如何需要抓取手机端(终端)的包,则需要Fillder监听设置端口,然后在手机的WIFI里面设置代理IP,端口。(注意:电脑和手机要在同一个网段中)。我自己是在笔记本里面开发wifi给...
关于mybatis、Hibernate、Jpa的一些经验之谈
南陈的博客
12-02 3496
参加工作几年,也有了一点小小心得,闲暇将自己平遇到的一些问题思考写下来,希望有志同道合的朋友一起参与讨论,共同进步。 网上已经有很多关于mybatis、hibernate、jpa的基本知识介绍了,这些我也不打算全部复制粘贴下来,我主要是想讲一下自己的想法和理解,有什么错误的地方请大家指正,谢谢! 首先讲下jpa,在之前的开发工作中用的最多的就是mybatis和hibernate,在最近的一...
为什么要禁用Cookie?
南陈的博客
04-14 3389
思考一:为什么要禁用Cookie? 首先,cookie是服务端生成返回给客户端的,客户端保存cookie到本地,甚至永久保存。cookie有跨域(协议、域名、端口其中有一个不同就产生跨域问题)问题。 cookie是和http捆绑在一起的,应该是当科学家在设计http协议就定义死了一个叫做cookie的字段用来保存话信息。 既然http协议定义了一个cookie字段用来保存话信息,那么我们就可以将话信息保存到cookie里面,并返回给客户端。 cookie:加密(用户...
关于数据库集群的详细理解
南陈的博客
02-12 2843
在工作中,我接触到了mysql集群,mysql集群的实现方案有很多种,但是我在项目中真正用到的是主从结构,一主一从结构或者一主多从结构。目的是备份数据和实现负载均衡。举个例子: 有四个mysql实例:mysql实例A、mysql实例B、mysql实例C、mysql实例D。默认实例A为主库,其他为从库。由于A是主库,所以系统的所有数据库操作请求都要经过A才能达到B、C、D库。 当A接收到请求,...
mysql高并发优化
南陈的博客
03-14 2665
一、Mysql高并发处理 例子1:新增手机号码,先判断是否已经存在,如果不存在则插入,在低并发访问情况下不发生问题,在高并发下则插入多条数据。 解决方案:通过写sql实现,在插入之前先判断是否已经存在数据。 INSERT INTO test SET(id,username,phone) SELECT '1','测试','10086' FROM DUALWHERE NOT EXIS...
如何通过构造恶意请求来实施CSRF攻击
03-27
4. 当用户恶意网站上填写并提交表单恶意网站将钓鱼表单的数据提交到目标站点,由于表单中的字段名称相同,目标站点认为这是合法的请求。 5. 当目标站点收到请求后,根据请求中的参数执行相应的操作,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值