Apache Tomcat 缓慢的HTTP拒绝服务攻击

最新推荐文章于 2024-05-13 02:04:43 发布
最新推荐文章于 2024-05-13 02:04:43 发布
阅读量5.8k 收藏 7
点赞数 3
分类专栏: 漏洞修复 文章标签: tomcat http apache 漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35606010/article/details/121883545
版权

Apache Tomcat 缓慢的HTTP拒绝服务攻击

漏洞详情

缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。

慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每10秒才向服务器发送一个HTTP头部,而Web服务器在没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。如果恶意攻击者客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。这种攻击类型称为慢速HTTP拒绝服务攻击。

漏洞修复

具体操作:

1.编辑 tomcat/conf/server.xml,找到如下行:

<Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" redirectPort="8443"/>

设置 connectiontimeout 值,默认为20000ms,修改为8000ms

2 设置AJAX的全局timeout时间(默认为30000ms)

	$.ajaxSetup({timeout:8000});

3 If possible, you should set the Secure flag for this cookie,set the HTTPOnly flag for this cookie解决方案:

设置tomcat/conf/web.xml文件:

<session-config>
     <session-timeout>30</session-timeout>
     <cookie-config>
        <secure>true</secure>
        <http-only>true</http-only>
     </cookie-config>
</session-config>

2 在登陆时设置 HttpOnly:

response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly")

启动了OPTIONS方法

tomcat/conf/web.xml 修改如下:

(1)更新

<web-app xmlns="http://java.sun.com/xml/ns/j2ee 
xmlns:xsi="i="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" 
version="2.4">

(2)新增

<security-constraint>
	<web-resource-collection>
		<url-pattern>/*</url-pattern>	
		<http-method>PUT</http-method>	
		<http-method>DELETE</http-method>	
		<http-method>HEAD</http-method>	
		<http-method>OPTIONS</http-method>	
		<http-method>TRACE</http-method>
	</web-resource-collection>
	<auth-constraint></auth-constraint>
</security-constraint>

<login-config>
	<auth-method>BASIC</auth-method>
</login-config>
無间行者
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
HTTP拒绝服务整改方案
11-30
缓慢http拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务
apache-tomcat
12-28
同时,它也可能修复了某些可能导致DoS(拒绝服务攻击漏洞,提高了系统的安全性。 Apache Tomcat 8.0.42属于Tomcat 8系列,这是对7.x的重大升级,因为它支持Java EE 7规范。Tomcat 8引入了对HTTP/2的支持,这是...
缓慢http拒绝服务攻击 tomcat_Apache Tomcat HTTP/2 拒绝服务攻击漏洞安全风险通告...
weixin_39640773的博客
12-09 1052
点击上方蓝字关注我们!漏洞背景2020年6月29日,嘉诚安全监测发现Apache官方发布了Tomcat HTTP/2拒绝服务攻击漏洞的风险通告,漏洞编号 CVE-2020-11996,漏洞等级:中危。Apache Tomcat 是一个开放源代码、运行servlet和JSPWeb应用软件的基于Java的Web应用软件容器。嘉诚安全提醒相关用户及时更新,以免引发漏洞相关的网络安全事件。漏洞详...
Nginx漏洞修复_检测到目标主机可能存在缓慢http拒绝服务攻击(1)
最新发布
2401_84968016的博客
05-13 449
多个合法Host头可用空格隔开:www.xxxx.com www.cccc.com 127.0.0.1。1、在Nginx配置文件的server 标签中增加以下参数。1、在Nginx配置文件的http标签中增加以下参数。
缓慢HTTP拒绝服务攻击
waitle500的博客
01-26 6354
缓慢HTTP拒绝服务攻击
检测到目标主机可能存在缓慢http拒绝服务攻击
weixin_43135696的博客
03-04 5851
#tomcat慢速HTTP拒绝服务攻击安全问题解决办法 修改Tomcat 配置文件 server.xml 中的 <Connector … /> 配置中,设置connectiontimeout值,默认为20000ms,修改为8000ms <Connector port="8080" protocol="HTTP/1.1" maxHttpHeaderSize="8192" maxThreads="100"
缓慢http拒绝服务攻击 tomcat_HTTP攻击有哪些类型以及怎样防御
weixin_39689347的博客
12-08 1532
HTTP 流量主导着互联网。数据中心也经历了大量的 HTTP 流量,许多企业看到越来越多的收入来自在线销售。然而,随着流行度的增长,风险随之增长,并且就像任何协议一样,HTTP 很容易受到攻击。天下数据将为您描述针对 HTTP 服务器发起的常见 DDoS 攻击。首先,HTTP 通过 TCP 运行。因此,Web 服务器可能面临许多与 TCP 相关的攻击。在规划 HTTP 服务保护时,请务必记住,攻击...
pache tomcat慢速HTTP拒绝服务攻击安全问题解决办法
p15097962069的博客
07-21 326
pache tomcat慢速HTTP拒绝服务攻击安全问题解决办法
检测到目标主机可能存在缓慢HTTP拒绝服务攻击
jockha的博客
05-07 860
在配置文件中加 server: tomcat: connection-timeout: 4000 connection-timeout: 4000 spring: mvc: async: request-timeout: 2000
缓慢http拒绝服务攻击 tomcat_6种你需要知道的网络攻击
weixin_39849387的博客
12-01 646
区块链的设计必须能够抵御许多不同类型的攻击。尽管这些攻击很难完全防止,但其目标是通过使攻击变得困难、耗时,而且最重要的是代价高昂,从而遏制潜在的攻击者。区块链面临许多不同形式的攻击。女巫攻击(Sybil Attack)它是什么?女巫攻击影响所有分散/无许可的网络。由于没有中心化实体对网络上的新用户进行审核,恶意参与者可以创建多个用户。然后,如果没有阻止机制,参与者可以使用这些身份在网络上强制执行他...
https协议拒绝服务测试攻击测试工具
05-10
软件名称:https协议拒绝服务测试攻击 作者:wlozz 时间:2010.5.8 来源:http://t00ls.net/ 漏洞危害:消耗服务器大量CPU资源 漏洞详情:略 软件挂上“0day”纯属吸引人,不过此方法确实可以达到拒绝服务的效果——消耗大量cpu资源。与两年前芬兰牛人发现的TCP协议拒绝服务相似。 目前一般的防火墙对大流量的拒绝服务可以起到一定的防御效果,但小流量的拒绝服务攻击是很难防御的,此方法属于小流量拒绝服务攻击。 你有1M的带宽可以“单挑”任意服务器。 但你应该明白一个道理,看到cpu占用100%,并不代表服务器不会影响其他运算,也不是你用此手法攻击一台https服务器后,对方的页面无法打开
Apache2.4 + tomcat + https部署配置文件
12-29
最近做一个项目应用到了Apache要在tomcat下部署并且开启https 涉及到大量的配置文件,具体可以从附件中下载案例,主要内容有: ...2、缓慢http拒绝服务攻击 3、web应用服务器版本泄露 4、点击劫持:X-Frame-Options
apache tomcat 7.0.42 7.0.64 7.0.68
12-15
例如,可能解决了某些情况下可能导致拒绝服务攻击的问题,或者优化了内存管理以提高性能。 7.0.64作为后续版本,主要着重于错误修复和安全更新。此版本可能包含对之前版本中发现的安全问题的补丁,例如防止跨站脚本...
apache-tomcat-8.5.32.zip
01-29
例如,它修复了可能导致拒绝服务(DoS)的漏洞,增强了输入验证,以及加强了对敏感信息的保护。 部署与管理: 解压"apache-tomcat-8.5.32.zip"后,你可以通过修改conf目录下的配置文件(如server.xml、web.xml)来...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
总之,Apache Tomcat 文件包含漏洞是一个严重的问题,需要及时修复,以保护服务器免受恶意攻击。通过了解漏洞原理、攻击方式和防护措施,我们可以更好地管理和维护我们的Web服务,确保系统的安全性。
Tomcat 拒绝服务总结
kobejayandy的专栏
08-12 4547
互联网公司的Web架构经常使用到nginx + tomcat 的经典配置,
[渗透]缓慢HTTP拒绝服务攻击原理、利用和防范
Tastill的博客
08-18 972
参考:https://blog.csdn.net/alex_bean/article/details/87626834
浅谈Slowloris拒绝服务攻击
热门推荐
梦落红尘
10-30 1万+
DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用。比如一个停车场共有100车位,当100车位都停满后,再有车想要停进来,就必须等待已有的车先出去才行。如果已有的车一直不出去,那么停车场的入口就会排气长队,停车场的负荷过载,不能正常工作了,这种情况就是“拒绝服务”。         常见的DD
Apache Tomcat服务器配置完全指南
Apache Tomcat 是一个广泛使用的开源Servlet容器和高性能的Web服务器,它实现了Java Servlet和JavaServer Pages(JSP)规范。这本书《Tomcat: The Definitive Guide》是管理员、webmaster以及开发者的宝贵参考资料,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

無间行者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值