预防Dos攻击

已于 2024-02-21 17:33:17 修改
阅读量366 收藏 1
点赞数 1
分类专栏: 安全 文章标签: java 开发语言
于 2023-09-11 16:29:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tlxamulet/article/details/132811877
版权

Dos----拒绝服务攻击,一般是构造特殊的输入,使得后台的处理耗时远超正常水平,随着请求越来越多,后台服务越发疲于奔命,最后因资源耗尽,无法再接受新的请求,最终造成拒绝服务的效果。

特殊输入例如:
分页查询时传一个很大的pageSize;
入参是一个很大的集合。

对于前者,做一个公共函数检查pageSize的大小,确定合理的范围即可。
对于后者,往往是在post请求里,可以做一个filter来处理所有的incoming request。参考了一些资料,样例代码如下:

@Component
public class BodySizeLimitFilter implements Filter {

    private static final List<String> METHODS_WITH_BODY = Collections.unmodifiableList(
        Arrays.asList("POST", "PUT", "OPTIONS", "DELETE", "PATCH"));

    private static final String CONTENT_LENGTH_HEADER = "Content-Length";

    private static final int TOO_LARGE_STATUS = 413;

    @Value("${reqbody.maxsize:4096}")
    private long contentLengthLimit;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        if (!METHODS_WITH_BODY.contains(httpServletRequest.getMethod())) {
            chain.doFilter(httpServletRequest, httpResponse);
            return;
        }

        long contentSize = getContentLength(httpServletRequest);

        if (contentSize > contentLengthLimit) {
            resetRespAndSetStatus(httpResponse, TOO_LARGE_STATUS);
        } else {
            chain.doFilter(request, response);
        }
    }

    private void resetRespAndSetStatus(HttpServletResponse response, int status) {
        response.reset();
        response.setStatus(status);
    }

    private long getContentLength(HttpServletRequest httpRequest) {
        String contentLength = httpRequest.getHeader(CONTENT_LENGTH_HEADER);
        return safeToLong(contentLength, 0);
    }
}

不过,考虑到content-length也是可以被篡改的,还是要在rest入口处做一下集合长度的校验。这里可使用springboot的@Valid注解。
对于前端POST调用传过来的requestBody参数,在函数声明里用jaxrs规范的@Valid注解处理,比如:

@Path("/test")
@Consumes({ "application/json;charset=UTF-8" })
@Named
public class TestRestService {

    @POST
    @Path("/hello")
    @Consumes({ "application/json" })
    @Produces({ "application/json" })
    public ServiceResponse<String> test(@Valid TestParam testParam) {
        throw new BaseException("i18n.test.example");
    }

同时,在TestParam数据类里用@Size等注解标记要校验的字段:

@Data
public class TestParam {
    @Size(max = 10, min = 2, message = "[strs]size between 2~10")
    private List<String> strs;

    @Size(max = 6, min = 1, message = "[singleStr]length between 1~6")
    private String singleStr;

    @Min(value = 0)
    @Max(value = 1)
    private int num;
}

这样spring框架就会自动为我们检查TestParam成员中list类型的长度、整型的大小、字符串类型的长度等。一旦有错误,就会抛出ConstraintViolationException异常,我们设法截获该异常,将错误信息填到Response中,给前台展示。
顺带说一下,校验时,spring controller类上的@Validated注解其实可以不要的。若调用内部spring bean时需做参数校验,则必须在spring bean的类定义上加@Validated注解(@Valid注解不能用于类),然后再在要校验的方法参数前加@Valid等注解。
对于GET调用的参数,校验起来更为简单,直接用@Size等注解修饰函数参数即可:

    @GET
    @Path("/helloPrimitive")
    @Consumes({ "application/json" })
    @Produces({ "application/json" })
    public ServiceResponse<String> testPrimitive(@QueryParam("id") @Max(value = 10) int id,
        @QueryParam("desc") @Size(max=15) String desc) {
        throw new BaseException("i18n.test.example");
    }
天下无敌笨笨熊
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于springboot2.x+redis的接口防刷(防DOSS攻击)
weixin_42342702的博客
12-05 952
1、自定义一个拦截器集成HandlerInterceptorAdapter里面的preHandle方法 @Component public class AccessInterceptor extends HandlerInterceptorAdapter { @Autowired IpUtils ipUtils; @Autowired Detail detai...
CVE-2023-20883 拒绝服务攻击
wcy1900353090的博客
09-07 2356
在Spring Boot版本3.0.0-3.0.6、2.7.0-2.7.11、2.6.0-2.6.14、2.5.0-2.5.14和不受支持的旧版本中,如果将Spring MVC与反向代理缓存一起使用,则可能会发生拒绝服务(DoS)攻击Spring Boot 3.0.x版本:3.0.0 - 3.0.6Spring Boot 2.7.x版本:2.7.0 - 2.7.11Spring Boot 2.6.x版本:2.6.0 - 2.6.14Spring Boot 2.5.x版本:2.5.0 - 2.5.14。
slowhttptest慢攻击工具介绍
weixin_34269583的博客
08-20 751
slowhttptest介绍 Slowhttptest是依赖HTTP协议的慢速攻击DoS攻击工具,设计的基本原理是服务器在请求完全接收后才会进行处理,如果客户端的发送速度缓慢或者发送不完整,服务端为其保留连接资源池占用,大量此类请求并发将导致DoS。 攻击模式 slowloris:完整的http请求是以\r\n\r\n结尾,攻击时仅发送\r\n,少发送一...
SpringBoot防止大量请求攻击
qq_46070108的博客
11-22 1万+
我们使用Jmeter测试同学的网站时,就会出现网站无法访问,403等错误。 An error occurred. Sorry, the page you are looking for is currently unavailable. Please try again later. If you are the system administrator of this resource then you should check the error log for details. Faithfull
企业API接口设计之token、timestamp、sign具体实现
emprere的博客
04-12 562
往期热门文章:1,《往期精选优秀博文都在这里了!》2、Elasticsearch 在互联网公司大量真实的应用案例3、一份来自亚马逊技术专家的Google面试指南,GitHub收获9.8...
用CISCO路由器识别和预防DoS攻击.pdf
10-09
用CISCO路由器识别和预防DoS攻击.pdf
预防APR攻击
10-26
这种攻击方式通常用于窃取敏感信息、执行中间人攻击或者实施DoS(Denial of Service,拒绝服务)攻击。以下是一些关于预防APR攻击的重要知识点: 1. **理解ARP协议**:ARP(Address Resolution Protocol,地址解析...
常用shell 脚本,dos攻击防范,
05-26
Dos攻击防范(自动屏蔽攻击IP).sh 一键部署等等 Linux系统发送告警脚本.sh MySQL数据库备份单循环.sh MySQL数据库备份多循环.sh nginx 访问访问日志按天切割.sh nginx.conf nginx访问日志分析脚本.sh shell....
DOS攻击与防御精解
11-17
DOS攻击与防御精解】 在信息技术领域,DOS(Denial of Service)攻击是一种恶意行为,旨在使计算机系统、网络或特定服务无法正常运行,从而拒绝合法用户的服务请求。这种攻击通常通过向目标系统发送大量数据包,...
建立全局安全体系防范DoS攻击
03-03
在局域网层面上,系统管理员可以采取大量的预防措施,防止DoS攻击带来的服务不能效应。这些预防措施包括:保持坚实的整体管理和安全程序,针对各类DoS攻击,实施特定的防卫措施等等。 在网络传输层面上,需要实现...
高手对付DDoS攻击的绝招
03-03
从拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击 方式。而DdoS是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢?本文将为大家从两个方面进行介绍。
pagehelper分页中pageSize等于total的问题【结合源码分析】
杨博程的专栏
07-04 1万+
pagehelper分页中pageSize等于total的问题【结合源码分析】 在使用MyBatis分页插件PageHelper时,在编码时不注意就会调入这个坑;在使用PageHelper进行数据分页时, PageHelper.startPage()必须放在数据集查询的前面,这样查询出来的分页参数信息才能正确被赋值,如果该初始化参数方法放在查询数据集后面,将会导致如下结果: pageS...
防范xss攻击-springboot代码实现
java程序员——佳崴
09-13 6920
【现象】:form 提交可执行的HTML 标签或JS 代码成功。比如:"/&gt;&lt;script&gt;alert('啦啦啦啦啦啦')&lt;/script&gt;&lt;!-   或者 &lt;img src='1.jpg' onload=alert(1)&gt; 【后果】:盗取用户cookie 信息、网页钓鱼攻击、修改网站代码、网站重定向。 【原因】: 提交的内容未做任何处理就入库。...
如何防范DOS/DDos攻击
一亩三分地
12-14 9137
DoS攻击几乎是从互联网络的诞生以来,就伴随着互联网络的发展而一直存在也不断发展和升级。值得一提的是,要找DoS的工具一点不难,黑客群居的网络社区都有共享黑客软件的传统,并会在一起交流攻击的心得经验,你可以很轻松的从Internet上获得这些工具,像以上提到的这些DoS攻击软件都是可以从网上随意找到的公开软件。所以任何一个上网者都可能构成网络安全的潜在威胁。DoS攻击给飞速发展的互联网络安全带来重
springboot 防攻击拦截
weixin_40155504的博客
11-28 1611
本文旨在通过获取用户的连接session的id判断是否是同一个用户多次登录,如果发现不停访问,通过设置redis的值做限制 直接贴代码如下,此处对RegisterController下的两个方法进行切入: package cn.ztuo.bitrade.aspect; import lombok.extern.slf4j.Slf4j; import org.aspectj.lang.JoinPo...
web服务器防止dos拒绝服务攻击
weixin_34320724的博客
10-14 650
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot---防止sql注入,xss攻击,cros恶意访问
西门飘雪的博客
07-25 5630
目录 1.sql注入 2.xss攻击 3.csrf/cros 4.服务端代码处理,以springboot为例 5.几个防止暴力破解的网站 1.sql注入 sql注入解释: 把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 解决方法: 1)无论是直接使用数据库还是使用如mybatis组件,使用sq...
SpringBoot防XSS攻击
热门推荐
BlueKitty的博客
12-21 2万+
1 . pom中增加依赖 org.jsoup jsoup 1.9.2 2 . 增加标签处理类 package com.xbz.utils; import org.apache.commons.lang3.StringUtils; import org.jsoup.Jsoup; import org.jsoup.nodes.Document; impor
DDOS 攻击的防范教程
JavaGuide
07-01 6242
作者: 阮一峰 日期: 2018年6月26日 原文地址:http://www.ruanyifeng.com/blog/2018/06/ddos.html 一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。 需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生的朋友提供了各种帮助和建议,让我学到了很...
redis+spring面试题
最新发布
github_36510643的博客
07-21 156
redis+spring面试题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值