SpringBoot DDoS防护:限流与验证全面指南

最新推荐文章于 2025-06-05 20:50:09 发布
原创 最新推荐文章于 2025-06-05 20:50:09 发布
· 1.9k 阅读 · 46 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #ddos #后端

文章目录

一、DDoS防护基础概念

1.1 什么是DDoS攻击

分布式拒绝服务(Distributed Denial of Service, DDoS)攻击是一种通过大量合法或伪造的请求占用目标服务器资源,使其无法正常提供服务的网络攻击方式。DDoS攻击通常具有以下特征:

特征 说明 示例
分布式来源 攻击来自大量不同IP地址 僵尸网络控制的数千台设备同时发起请求
流量洪泛 短时间内产生远超正常水平的请求量 每秒数万次的API调用请求
资源耗尽 目标是耗尽服务器资源(带宽、CPU、内存等) 数据库连接池被占满,正常用户无法连接
伪装性 攻击流量往往模仿正常业务请求 模拟正常用户浏览行为的HTTP请求

在SpringBoot应用中,常见的DDoS攻击类型包括:

  1. HTTP Flood:针对Web层的HTTP请求洪泛
  2. Slowloris:保持大量慢速HTTP连接耗尽服务器连接池
  3. CC攻击:针对计算密集型接口的重复请求
  4. API滥用:恶意爬虫或自动化工具高频调用API接口

1.2 为什么需要防护DDoS

对于SpringBoot应用来说,缺乏DDoS防护会导致:

  1. 服务不可用:正常用户无法访问服务,影响业务连续性
  2. 资源成本激增:云环境下自动扩容可能导致巨额账单
  3. 数据泄露风险:攻击可能掩盖其他安全入侵行为
  4. 品牌声誉损害:服务不可用影响用户信任
// 模拟一个未受保护的Controller
@RestController
public class VulnerableController {
   
    
    @GetMapping("/api/data")
    public String getData() {
   
        // 这是一个计算密集型操作
        String result = expensiveCalculation();
        return result;
    }
    
    private String expensiveCalculation() {
   
        // 模拟耗时操作
        try {
   
            Thread.sleep(100);
        } catch (InterruptedException e) {
   
            Thread.currentThread().interrupt();
        }
        return "Expensive Result";
    }
}

上述代码在没有防护的情况下,攻击者只需发起大量并发请求到/api/data接口,就能快速耗尽服务器资源。

1.3 防护的基本原则

有效的DDoS防护应遵循以下原则:

  1. 分层防御:在网络层、应用层等多层次部署防护措施
  2. 纵深防御:不依赖单一防护机制,设置多道防线
  3. 最小权限:只允许必要的访问,默认拒绝其他所有请求
  4. 弹性设计:系统在承受攻击时能保持基本功能
  5. 可观测性:具备完善的监控和告警机制

二、SpringBoot限流防护机制

2.1 令牌桶算法实现

令牌桶算法是一种常用的限流算法,其工作原理如下:

  1. 令牌以固定速率添加到桶中(如每秒10个)
  2. 每个请求需要获取一个令牌才能被处理
  3. 当桶为空时,新请求将被限流
请求到达
令牌可用?
获取令牌
处理请求
拒绝请求

SpringBoot中可以使用Guava的RateLimiter实现:

import com.google.common.util.concurrent.RateLimiter;

@Service
public class RateLimitService {
   
    // 每秒允许10个请求
    private final RateLimiter rateLimiter = RateLimiter.create(10.0); 
    
    public boolean tryAcquire() {
   
        return rateLimiter.tryAcquire();
    }
    
    @RestController
    public class ProtectedController {
   
        @Autowired
        private RateLimitService rateLimitService;
        
        @GetMapping("/api/protected")
        public ResponseEntity<String> getProtectedData() {
   
            if (!rateLimitService.tryAcquire()) {
   
                return ResponseEntity.status(429)
                    .header("X-RateLimit-RetryAfter", "1")
                    .body("Too many requests");
            }
            
            // 正常业务逻辑
            return ResponseEntity.ok("Protected Data");
        }
    }
}

参数说明:

参数 类型 说明 推荐值
permitsPerSecond double 每秒允许的请求数 根据业务负载调整
warmupPeriod long 预热时间(毫秒) 高并发系统建议5000
tryAcquireTimeout long 获取令牌超时时间 0表示立即返回

2.2 滑动窗口算法实现

滑动窗口算法比固定窗口更精确,可以避免临界问题。Redis+Lua是实现分布式限流的理想方案:

-- ratelimit.lua
local key = KEYS[1] -- 限流键
local limit = tonumber(ARGV[1]) -- 限流大小
local window = tonumber(ARGV[2]) -- 时间窗口(秒)
local now = tonumber(ARGV[3]) -- 当前时间戳

local clearBefore = now - window
redis.call('ZREMRANGEBYSCORE', key, 0, clearBefore)

local currentCount = redis.call('ZCARD', key)
if currentCount >= limit then
    return 0
else
    redis.call('ZADD', key, now, now)
    redis.call('EXPIRE', key, window)
    return 1
end

Java调用代码:

import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.script.RedisScript;

@Service
public class RedisRateLimiter {
   
    
    private final RedisTemplate<String, Object> redisTemplate;
    private final RedisScript<Long> rateLimitScript;
    
    public RedisRateLimiter(RedisTemplate<String, Object> redisTemplate) {
   
        this.redisTemplate = redisTemplate;
        this.rateLimitScript = RedisScript.of(
            new ClassPathResource("scripts/ratelimit.lua"), 
            Long.class
        );
    }
    
    public boolean allowRequest(String key, int limit, int window) {
   
        Long result = redisTemplate.execute(
            rateLimitScript,
            Collections.singletonList(key),
            limit,
            window,
            System.currentTimeMillis() / 1000
        );
        return result != null && result == 1;
    }
}

2.3 分布式限流方案

在微服务架构中,需要统一的限流服务。Spring Cloud Gateway集成Redis限流示例:

# application.yml
spring:
  cloud:
    gateway:
      routes:
        - id: user-service
          uri: lb://user-service
          predicates:
            - Path=/api/users/**
          filters:
            - name: RequestRateLimiter
              args:
                redis-rate-limiter.replenishRate: 10
                redis-rate-limiter.burstCapacity: 20
                redis-rate-limiter.requestedTokens: 1

自定义Key解析器:

@Bean
KeyResolver userKeyResolver() {
   
    return exchange -> {
   
        // 按用户限流
        String userId = exchange.getRequest()
            .getHeaders()
            .getFirst("X-User-Id");
        return Mono.just(userId != null ? userId : "anonymous");
    };
}

三、验证机制防护

3.1 验证码防护

验证码是区分人类用户和机器流量的有效手段。SpringBoot集成Google reCAPTCHA示例:

@RestController
public class CaptchaController {
   
    
    @Value("${recaptcha.secret}")
    private String recaptchaSecret;
    
    @PostMapping("/api/register")
    public ResponseEntity<?> registerUser(
        @RequestBody RegistrationRequest request,
        @RequestHeader("g-recaptcha-response") String captchaResponse) {
   
        
        // 验证reCAPTCHA
        boolean valid = validateCaptcha(captchaResponse);
        if (!valid) {
   
            return ResponseEntity.badRequest().body("Invalid captcha");
最低0.47元/天 解锁文章
【愚公系列】《AIGC辅助软件开发》011-AI辅助编写技术文档:技术文档
时光隧道
07-24 5万+
在当今快速发展的技术环境中,技术文档的编写变得愈加重要。无论是软件开发、产品设计,还是系统架构,清晰、准确的技术文档不仅能帮助团队成员快速理解项目,还能为用户提供必要的使用指导。然而,编写高质量的技术文档常常是一项繁琐且耗时的任务。随着人工智能技术的不断进步,AI工具的辅助作用逐渐显现,特别是在技术文档的编写过程中。借助AI,开发者和技术作家可以更高效地生成、编辑和维护文档,从而专注于更高层次的创作和思考。
基于SpringCloudAlibaba的业务和技术中台设计
huxian1234的专栏
06-01 720
胡弦,视频号2023年度优秀创作者,互联网大厂P8技术专家,Spring Cloud Alibaba微服务架构实战派(上下册)和RocketMQ消息中间件实战派(上下册)的作者,资深架构师,技术负责人,极客时间训练营讲师,四维口袋KVP最具价值技术专家,技术领域专家团成员,2021电子工业出版社年度优秀作者,获得2023电子工业出版技术成长领路人称号,荣获2024年电子工业出版社博文视点20周年荣誉专家称号。
Java 后端面试指南
赵先森
02-21 1482
该篇文章是博主对Java的学习进行的系统性的归纳总结,汇总了Java基础、多线程、JVM、MySQL、Redis、docker、实战经验、常用开发框架等常见的一些问题和解决方案,
Springboot计算机毕业设计个人博客的设计实现i03nz(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
weixin_41924130的博客
05-18 688
项目功能:用户,文章分类,博客文章。
Java面试指南
但行好事莫问前程
02-27 921
JVM系列 1. jvm 体系结构 classfiles ----- classLoader (类加载器系统) --- 运行时数据区 ------执行引擎 ----本地方法接口 -----本地方法库 classLoader : 类加载其主要作用 加载class 文件 至于能否运行有 执行引擎决定 。 Bootstreap classloader (启动类加载器) : c++ 加载 ja...
由一次安全扫描引发的思考:如何保障 API 接口的安全性?
xingduan5153的博客
05-27 281
推荐阅读: 这套Github上40K+star学习笔记,可以帮你搞定95%以上的Java面试 毫不夸张的说,这份SpringBoot学习指南能解决你遇到的98%的问题 最全面试题新鲜出炉:70+算法题、近30种大厂面试笔试常考知识点 引言 前段时间,公司对运行的系统进行了一次安全扫描,使用的工具是 IBM 公司提供的 AppScan 。 这个正所谓不扫不要紧,一扫吓一跳,结果就扫...
渗透测试 ( 1 ) --- 相关术语、必备 工具、导航、全流程总结、入侵网站思路
热门推荐
freeking101的博客
07-02 3万+
在学习某项技能的时,要用最快的时间摸索清楚最少必要知识 (MAKE)都有哪些? 然后迅速地掌握它们,这样就实现了 "快速入门",然后就可以开始动手实践,然后在实践中验证理论、加深理解,同时继续扩展学习。而学习黑客也是同样的道理,对于新手小白的第一课应该是以掌握基础的安全工具为主,这样在学习的同时可以进行实践,验证所学的知识,同时加以扩展,这样学习效率会大大提升.........................................................
电脑软件系统等保2.0 二级安全要求
【CSDN】
06-01 3660
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾害,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段事件内恢复部分功能。 以下加粗字段为等保二级一级的区别,需重点关注。 1|11安全通用要求 1.1安全物理环境 1.1.1物理位置选择 本项要求包括: a)机房场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措.
产品升级|​9月产品升级,精彩不间断!
百度智能云
10-27 2588
9月,在上海举办的“云智技术论坛”智能大数据专场,百度智能云带来了云智一体的大数据产品架构全景图,为企业提供从构建新型数据基础设施、深度挖掘数据价值,到保障数据安全的全流程大数据解决方案。...
【迷你天猫商城的构建优化】:从入门到实战的完整指南(含数据库优化和性能监控)
[基于springboot的迷你天猫商城设计实现 .doc](https://sacavix.com/wp-content/uploads/2022/12/spring-admin-1024x477.png) # 摘要 本文介绍了一个迷你天猫商城系统的设计实现,涉及技术架构、功能模块、...
【编程MMC4.3】:API使用代码实现精讲
本文全面介绍了MMC4.3 API的设计、使用实践以及安全维护策略。首先概述了API的概念、理论基础和设计原则,阐述了API接口的定义、作用及其RESTful原则的关系。接着,详细探讨了API文档编写、请求响应处理、认证...
【Java API设计原则】:构建清晰银行服务接口的权威指南
本文深入探讨了Java API设计的各个方面,从理论基础到实践应用,再到版本管理和维护,为构建高效、安全的银行服务API提供了全面的指导。首先概述了接口设计的目的和重要性,重点介绍了SOLID设计原则和RESTful API...
Spring Boot中的事件JMS消息集成
静水深流
06-01 1239
Spring Boot的事件机制通过ApplicationEvent和监听器实现模块间通信,支持内置生命周期事件(如ContextRefreshedEvent)和自定义事件开发。自定义事件需定义事件类、发布事件(ApplicationEventPublisher)和监听处理(实现ApplicationListener或使用@EventListener注解)。典型应用如用户状态变更时发布UserActivatedEvent事件,异步记录日志。该机制实现业务解耦,提升扩展性,支持同步/异步处理和事务边界控制(@
Spring Boot 常用注解面试题深度解析
博客主要分享技术教程、工具教程、bug解决、前沿技术动态、编程经验、心得感悟等。 内容同步、干货获取、推广宣发请看侧栏推广信息
06-05 1394
Spring Boot 常用注解面试题深度解析
「深度拆解」Spring Boot如何用DeepSeek重构MCP通信层?从线程模型到分布式推理的架构进化
mxt51220的博客
06-05 724
期待这一技术组合持续迭代,为开发者带来更极致的体验,为行业树立高可用、高智能的集成范式标杆。其核心目标是解决AI模型外部世界交互的碎片化问题,推动AI从“被动应答”向“主动执行”跃迁。的开放标准协议,旨在为大型语言模型(LLM)外部数据源、工具及系统提供统一的交互接口,被称为。以上功能可以为AI应用提供丰富的上下文信息和操作能力,从而增强LLM大模型的实用性和灵活性。目前已经出现了很多好玩的MCP Server,有兴趣的小伙伴可以访问。目前市面上有很多工具可以支持调用MCP Server,比如。
Spring Boot 使用 SLF4J 实现控制台输出分类日志文件管理
最新发布
记录大学四年代码
06-05 334
本文介绍如何在Spring Boot项目中实现高效日志管理。通过SLF4J+Logback组合,配置日志系统实现:控制台实时输出、按级别分类保存(info.log/error.log)、按日期滚动存储、统一logs目录管理。提供了完整的logback.xml配置文件示例,包含日志格式定义、按级别过滤、60天历史保留等关键设置。项目启动后,logs目录将自动生成分级日志文件,满足开发和运维需求,为系统调试和问题排查提供有力支持。
Spring Boot养老院管理系统源码分享
幽络源
05-31 522
基于Spring Boot的养老院管理系统,详解后台设备管理及前台个人中心功能,助力养老机构信息化升级。
Spring Boot 3.3中使用Druid数据源及其监控功能
技术的学习与积累是个技术活
06-05 642
摘要:本文介绍了如何在Spring Boot 3.3项目中集成Druid数据源及其监控功能。Druid作为阿里巴巴开源的高性能数据库连接池,提供SQL监控、慢SQL记录等特性,可替代默认的HikariCP。文章通过类图展示了DruidSpring Boot数据源的继承关系,详细说明了pom.xml依赖配置和application.yml中的参数设置,包括连接池参数(initialSize/maxActive等)和监控配置(StatViewServlet/webStatFilter)。最后提供了完整的YAM
Spring Boot 项目集成 Redis 问题:RedisTemplate 多余空格问题
weixin_52173250的博客
06-05 194
Spring Boot 项目集成 Redis 问题:RedisTemplate 多余空格问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Clf丶忆笙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值