springboot 解决缓慢的http攻击

最新推荐文章于 2024-04-03 10:30:12 发布
最新推荐文章于 2024-04-03 10:30:12 发布
阅读量9.1k 收藏 13
点赞数 5
分类专栏: java 文章标签: java spring boot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f_h_h/article/details/112546128
版权

问题:上次项目准备上线,做了一次全站的安全检测。鄙人解决了一天漏洞,也踩过一些坑,特此记录了一下问题解决,希望对你有帮助~

以下只是解决缓慢的http攻击漏洞
扫描到的漏洞截图:

在这里插入图片描述

漏洞名称:检测到目标主机可能存在缓慢的HTTP拒绝服务攻击
攻击原理:
缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。

慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每10秒才向服务器发送一个HTTP头部,而Web服务器在没接收到2个连续的
时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。如果恶意攻击者客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。这种攻击类型称为慢速HTTP拒绝服务攻击。
漏洞给出的解决方案
针对不同的Server其对慢速http拒绝服务攻击防范方法也不同,建议使用以下措施防范慢速http拒绝服务攻击:

WebSphere
========

1、限制 HTTP 数据的大小 
在WebSphere Application Server 中进行如下设置:

任何单个 HTTP 头的默认最大大小为 32768 字节。可以将它设置为不同的值。

HTTP 头的默认最大数量为 50。可以将它设置为不同的限制值。

另一种常见的 DOS 攻击是发送一个请求,这个请求会导致一个长期运行的 GET 请求。WebSphere Application Server Plug-in 中的 ServerIOTimeoutRetry 属性可限制任何请求的重试数量。这可以降低这种长期运行的请求的影响。

设置限制任何请求正文的最大大小。

2、设置keepalive参数

打开ibm http server安装目录,打开文件夹conf,打开文件httpd.conf,查找KeepAlive值,改ON为OFF,其默认为ON。

这个值说明是否保持客户与HTTP SERVER的连接,如果设置为ON,则请求数到达MaxKeepAliveRequests设定值时请求将排队,导致响应变慢。

详见参考链接:
http://www.ibm.com/developerworks/cn/websphere/techjournal/1210_lansche/1210_lansche.html#new-step32

Weblogic
============

1、在配置管理界面中的协议->一般信息下设置 完成消息超时时间小于200
2、在配置管理界面中的协议->HTTP下设置 POST 超时、持续时间、最大 POST 大小为安全值范围。

http://docs.oracle.com/cd/E12890_01/ales/docs32/integrateappenviron/configWLS.html#wp1101063

Nginx
============

1、通过调整$request_method,配置服务器接受http包的操作限制;
2、在保证业务不受影响的前提下,调整client_max_body_size, client_body_buffer_size, client_header_buffer_size,large_client_header_buffersclient_body_timeout, client_header_timeout的值,必要时可以适当的增加;
3、对于会话或者相同的ip地址,可以使用HttpLimitReqModule and HttpLimitZoneModule参数去限制请求量或者并发连接数;
4、根据CPU和负载的大小,来配置worker_processes 和 worker_connections的值,公式是:max_clients = worker_processes * worker_connections。

Apache
============

建议使用mod_reqtimeout和mod_qos两个模块相互配合来防护。
1、mod_reqtimeout用于控制每个连接上请求发送的速率。配置例如:
#请求头部分,设置超时时间初始为10秒,并在收到客户端发送的数据后,每接收到500字节数据就将超时时间延长1秒,但最长不超过40秒。可以防护slowloris型的慢速攻击。
RequestReadTimeout header=10-40,minrate=500
#请求正文部分,设置超时时间初始为10秒,并在收到客户端发送的数据后,每接收到500字节数据就将超时时间延长1秒,但最长不超过40秒。可以防护slow message body型的慢速攻击。
RequestReadTimeout body=10-40,minrate=500
需注意,对于HTTPS站点,需要把初始超时时间上调,比如调整到20秒。

示例:
LoadModule reqtimeout_module modules/mod_reqtimeout.so
<IfModule reqtimeout_module>
        RequestReadTimeout header=10-40,minrate=500 body=10-40,minrate=500
</IfModule>

2、mod_qos用于控制并发连接数。配置例如:
# 当服务器并发连接数超过600时,关闭keepalive
QS_SrvMaxConnClose 600 
# 限制每个源IP最大并发连接数为50
QS_SrvMaxConnPerIP 50
这两个数值可以根据服务器的性能调整。
更多关于qos_module配置参考:
http://mod-qos.sourceforge.net/dos.html

示例:
LoadModule qos_module modules/mod_qos.so
<IfModule qos_module>
QS_SrvMaxConnClose 600
QS_SrvMaxConnPerIP 50
</IfModule>

IHS服务器
============

请您先安装最新补丁包,然后启用mod_reqtimeout模块,在配置文件中加入: 
LoadModule reqtimeout_module modules/mod_reqtimeout.so 
为mod_reqtimeout模块添加配置: 
<IfModule mod_reqtimeout.c>
RequestReadTimeout header=10-40,MinRate=500 body=10-40,MinRate=500
</IfModule>
对于HTTPS站点,建议header=20-40,MinRate=500。 
参见:http://www-01.ibm.com/support/docview.wss?uid=swg21652165


F5负载均衡修复建议
============

F5负载均衡设备有相应的防护模块,如无购买可参考附件中的详细配置过程。
关于F5的慢速攻击防护配置,请参考以下链接:
https://support.f5.com/kb/en-us/solutions/public/10000/200/sol10260.html
https://devcentral.f5.com/articles/mitigating-slow-http-post-ddos-attacks-with-irules-ndash-follow-up


IIS服务器
============
IIS可配置相关网站的Web.config如下:
1、WebLimits设置:
<configuration>
    <system.applicationHost>
        <webLimits connectionTimeout="00:00:30"
        headerWaitTimeout="00:00:10"
        dynamicIdleThreshold="150"
        minBytesPerSecond="512"
    />
    </system.applicationHost>
</configuration>
参考以下链接:
https://docs.microsoft.com/en-us/iis/configuration/system.applicationhost/weblimits#configuration
2、headerLimits设置:
<configuration>
 <system.webServer>
  <security>
   <requestFiltering>
    <requestLimits>
     <headerLimits>
     <add header="Content-type" sizeLimit="100" />
     </headerLimits>
    </requestLimits>
   </requestFiltering>
  </security>
 </system.webServer>
</configuration>
参考以下链接:
https://docs.microsoft.com/en-us/iis/configuration/system.webserver/security/requestfiltering/requestlimits/headerlimits/

实际springboot中解决方案:在applications.yml中添加
server:
  ...
  
  tomcat:
    max-connections: 10000 # 最大连接数
  connection-timeout: 1000 # 连接超时






如果你觉得本文章对你有用,那就点个赞吧~O(∩_∩)O

小鸟不会费
关注
  • 5
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
HTTP拒绝服务整改方案
11-30
缓慢http拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务
拒绝服务攻击原理及解决方法
03-01
Internet给全世界的人们带来了无限的生机,真正实现了无国界的全球村。但是还有很多困绕我们的因素,象IP地址的短缺,大量带宽的损耗,以及政府规章的限制和编程技术的不足。现在,由于多年来网络系统累积下了无数的漏洞,我们将面临着更大的威胁,网络中潜伏的好事者将会以此作为缺口来对系统进行攻击,我们也不得不为以前的疏忽付出更大的努力。虽然大多的网络系统产品都标榜着安全的旗号,但就我们现在的网络协议和残缺的技术来看,危险无处不在。 拒绝服务攻击是一种遍布全球的系统漏洞,黑客们正醉心于对它的研究,而无数的网络用户将成为这种攻击的受害者。Tribe Flood Network, tfn2k, smurf, targa…还有许多的程序都在被不断的开发出来。这些程序想瘟疫一样在网络中散布开来,使得我们的村落更为薄弱,我们不得不找出一套简单易用的安全解决方案来应付黑暗中的攻击
SpringBoot解决Slow HTTP慢速攻击漏洞
涛哥是个大帅比
01-19 1051
Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每10秒才向服务器发送一个HTTP头部,而Web服务器在没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。如果恶意攻击者客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。这种
springboot攻击防护
shufusheng的博客
09-10 829
1.慢攻击测试 slowhttp测试 yum install slowhttptest slowhttptest -c 10000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u http://localhost:post -x 10 -p 3 参考来源:https://www.cnblogs.com/java-linux/p/13452625.html 使用 slowhttptest 测试,具体测试方式可以参照下面的参考..
检测到目标主机可能存在缓慢HTTP拒绝服务攻击
热门推荐
dong__xue的博客
02-22 1万+
缓慢HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一
SpringBoot修复http慢速攻击
最新发布
qyhua的专栏
04-03 411
【代码】SpringBoot修复http慢速攻击
Web 项目中常见的漏洞
普罗旺斯
06-18 2631
攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。所以我们应该尽量的设置MIME类型,然后禁用MIME嗅探的行为。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。缓慢HTTP拒绝服务攻击时一种专门针对Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务
检测到目标主机可能存在缓慢http拒绝服务攻击
weixin_43135696的博客
03-04 5591
#tomcat慢速HTTP拒绝服务攻击安全问题解决办法 修改Tomcat 配置文件 server.xml 中的 <Connector … /> 配置中,设置connectiontimeout值,默认为20000ms,修改为8000ms <Connector port="8080" protocol="HTTP/1.1" maxHttpHeaderSize="8192" maxThreads="100"
绿盟扫漏出现的Web常规漏洞
一只咕咚的博客
03-10 4197
整理一下最近修复的漏洞 ==== =环境:Java、tomcat、Linux==== 1、目标URL存在http host头攻击漏洞 解决方案: (1)将tomcat升级到7及以上版本 (2)修改tomcat中/conf/Server.xml配置文件 将host 节点里面 name名称改为域名,appBase:应用的目录 (3)Linux上增加hostname Vi /etc/hosts 修改好确保有成功 ping hostname (4)用burpsuite验证
SpringBoot实现本地存储文件上传及提供HTTP访问服务的方法
08-18
主要介绍了SpringBoot实现本地存储文件上传及提供HTTP访问服务,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot 跨域问题的解决方案
08-25
主要介绍了SpringBoot 跨域问题的解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
springboot后端解决跨域问题
08-26
今天小编就为大家分享一篇关于springboot后端解决跨域问题,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
SpringBoot记录Http请求日志的方法
08-26
主要介绍了SpringBoot记录Http请求日志的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
跨域+springboot跨域+解决跨域
12-07
springboot跨域 springboot解决跨域问题+不同版本springboot解决跨域问题
springboot2.x使用Jsoup防XSS攻击的实现
10-15
主要介绍了springboot2.x使用Jsoup防XSS攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot_host
01-11
springboot 解决host漏洞的实例
SpringBoot解决ajax跨域问题的方法
08-27
主要为大家详细介绍了SpringBoot解决ajax跨域问题的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot如何修改HTTP缓慢攻击问题
07-15
Spring Boot中,可以通过以下方法来解决HTTP缓慢攻击问题: 1. 设置连接超时:在application.properties或application.yml配置文件中,可以设置连接超时时间。例如: ``` server.connection-timeout=5000 ``` 上述配置将连接超时时间设置为5秒,如果连接在5秒内没有完成请求,服务器会主动关闭连接。 2. 配置服务器线程池:通过配置服务器的线程池大小和最大请求数量,可以限制每个客户端的并发连接和请求数量。例如,在application.properties或application.yml配置文件中,可以添加以下配置: ``` server.tomcat.max-connections=1000 server.tomcat.max-threads=200 ``` 上述配置将最大连接数设置为1000,最大线程数设置为200。 3. 使用反向代理:可以使用反向代理服务器(如Nginx)来过滤和限制请求。反向代理可以配置请求速率限制、最大连接数等参数,以及对恶意请求进行过滤和阻止。 4. 使用Spring Security进行请求过滤:可以使用Spring Security框架来对请求进行过滤和安全验证。通过配置一些防护策略,如请求频率限制、IP黑名单等,可以防止缓慢攻击。 5. 使用CDN服务:类似上面提到的方法,可以使用内容分发网络(CDN)来分散流量和减轻服务器压力。 请根据您的具体需求和环境选择适合的解决方案,并确保综合考虑安全性和性能的平衡。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值