起因

线上项目突然遭到大量的非法参数攻击,由于历史问题,之前的代码从未对请求参数进行校验。

导致大量请求落到了数据访问层,给应用服务器和数据库都带来了很大压力。

针对这个问题,只能对请求真正到Controller方法调用之前直接将非法参数请求拒绝掉,所以在Filter中对参数进行统一校验,非法参数直接返回400。

定义参数检查规则:

  1. 先检查uri是否需要拦截
  2. 再检查请求参数是否合法:对于请求参数的检查,如果有值,不能存在非法值
  3. 最后检查cookie是否正确:检查必须存在的cookie参数

代码示例

package com.lenovo.moc.portal.filter;

import java.io.IOException;

import java.util.ArrayList;

import java.util.Enumeration;

import java.util.HashMap;

import java.util.List;

import java.util.Map;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.Cookie;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import com.lenovo.moc.portal.util.SessionUtil;

import com.lenovo.moc.portal.util.WebUtil;

/**

 * 检查请求参数过滤器<br />

 * 从2方面验证请求参数的有效性:检查cookie和请求参数 <br />

 * @date 2017年8月9日

 */

public class CheckRequestParamFilter implements Filter {

	private static final Logger logger = LoggerFactory.getLogger(CheckRequestParamFilter.class);

	private static final List<String> anonUriList = new ArrayList<String>(); // 不需要进行参数和cookie检查额uri列表

	{

		anonUriList.add("/home.do");

		anonUriList.add("/home_login_callback.do");

		anonUriList.add("/home_login_demo.do");

		anonUriList.add("/home_logout.do");

		anonUriList.add("/home_admin_logout.do");

	}

	public void init(FilterConfig filterConfig) throws ServletException {

		if(logger.isDebugEnabled()) {

			logger.debug("CheckRequestParamFilter init");

		}

	}

	// 参数和cookie检查

	// 1. 先检查uri是否需要拦截

	// 2. 再检查请求参数是否合法

	// 3. 最后检查cookie是否正确

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

			throws IOException, ServletException {

		HttpServletRequest req = (HttpServletRequest)request;

		HttpServletResponse resp = (HttpServletResponse)response;

		String uri = req.getRequestURI();

		if(checkUri(req, resp, uri)) {

			chain.doFilter(request, response);

			return;

		}

		if(!checkParams(req, resp, uri)) {

			return;

		}

		if(!checkCookie(req, resp, uri)) {

			return;

		}

		chain.doFilter(request, response);

	}

	/**

	 * 检查uri是否需要检查参数

	 * @param req

	 * @param resp

	 * @param uri

	 * @return 不需要检查,返回true; 否则返回false.

	 */

	private boolean checkUri(HttpServletRequest req, HttpServletResponse resp, String uri) {

		if(logger.isDebugEnabled()) {

			logger.debug("request uri: {}", uri.trim());

		}

		uri = uri.substring(req.getContextPath().length());

		return anonUriList.contains(uri.trim());

	}

	/**

	 * 请求参数如果不为空,则不能包含特殊字符

	 * @param req

	 * @param resp

	 * @param uri

	 * @return

	 */

	private boolean checkParams(HttpServletRequest req, HttpServletResponse resp, String uri) {

		Enumeration<?> enumeration = req.getParameterNames();

		while(enumeration.hasMoreElements()) {

			String key = enumeration.nextElement().toString();

			Object value = req.getParameter(key);

			if(value == null || "".equals(value.toString().trim())) {

				continue;

			}

			if(containsInvalidChars(value.toString())) {

				logger.error("request param value contains invalid chars! param name: {}, param value: {}, uri: {}", key, value, uri);

				return false;

			}

			if(containsInvalidString(value.toString())) {

				logger.error("request param value contains invalid string! parma name: {}, param value: {}, uri: {}", key, value, uri);

				return false;

			}

		}

		if(logger.isDebugEnabled()) {

			logger.debug("check all request parameters are valid, uri: {}", uri);

		}

		return true;

	}

	/**

	 * 检查是否包含特殊字符

	 * @param value

	 * @return

	 */

	private static boolean containsInvalidChars(String value) {

		String regex = "[`~!#$%^&()|{}';'\\[\\]<>?~!#¥%……&()——|{}【】‘;:”“’。,、?]";

		Pattern pattern = Pattern.compile(regex);

		Matcher matcher = pattern.matcher(value);

		return matcher.find();

	}

	/**

	 * 检查是否包含特殊字符串

	 * @param value

	 * @return

	 */

	private static boolean containsInvalidString(String value) {

		return value.contains("select") ||

	           value.contains("nslookup")  ||

	           value.contains("sleep");

	}

	/**

	 * 指定cookie必须存在

	 * @param req

	 * @param resp

	 * @param uri

	 * @return

	 * @throws IOException

	 */

	private boolean checkCookie(HttpServletRequest req, HttpServletResponse resp, String uri) throws IOException {

		Map<String, String> cookieMap = new HashMap<String, String>();

		Cookie[] cookies = req.getCookies();

		for(Cookie c : cookies) {

			cookieMap.put(c.getName(), c.getValue());

		}

		// 检查SessionUtil.LOGIN_STAFF_ID

		String loginStaffId = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_STAFF_ID));

		if(loginStaffId == null) {

			logger.error("login staff id cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_COMPANY_ID

		String loginCompanyId = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_COMPANY_ID));

		if(loginCompanyId == null) {

			logger.error("login company id cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_COMPANY_NAME

		String loginCompanyName = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_COMPANY_NAME));

		if(loginCompanyName == null) {

			logger.error("login company name cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_NAME

		String loginUserName = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_NAME));

		if(loginUserName == null) {

			logger.error("login user name cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ACCOUNT

		String loginUserAccount = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ACCOUNT));

		if(loginUserAccount == null) {

			logger.error("login user account cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ROLE

		String loginUserRole = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ROLE));

		if(loginUserRole == null) {

			logger.error("login user role cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ROLE_CODE

		String loginUserCode = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ROLE_CODE));

		if(loginUserCode == null) {

			logger.error("login user role code cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		if(logger.isDebugEnabled()) {

			logger.debug("check all cookies are valid, uri: {}", uri);

		}

		return true;

	}

	/**

	 * 断开与客户端的连接

	 * @param req

	 * @param resp

	 * @param message

	 * @throws IOException

	 */

	private void deny(HttpServletRequest req, HttpServletResponse resp, String message) throws IOException {

		resp.setStatus(HttpServletResponse.SC_BAD_REQUEST);

		resp.getWriter().write(message);

		resp.getWriter().close();

	}

	public void destroy() {

	}

}

记一次解决非法参数DDoS攻击的实践的更多相关文章

  1. 记一次ntp反射放大ddos攻击

    2018/3/26 ,共计310G左右的DDoS攻击 临时解决办法:将web服务转移到同生产一个内网段的备份服务器a上,a提供web端口80,数据库通过内网连接还是沿用生产数据库. 后续解决办法:通过 ...

  2. 反爬虫和抗DDOS攻击技术实践

    导语 企鹅媒体平台媒体名片页反爬虫技术实践,分布式网页爬虫技术.利用人工智能进行人机识别.图像识别码.频率访问控制.利用无头浏览器PhantomJS.Selenium 进行网页抓取等相关技术不在本文讨 ...

  3. 游戏行业DDoS攻击解决方案

    行业综述 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游戏市场收入超过美国和日本,成为全球榜首. 游戏行业的快速发展.高额的攻击利润.日 ...

  4. 阿里云:游戏行业DDoS攻击解决方案

    转自:http://www.gamelook.com.cn/2018/01/319420 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游 ...

  5. Linux+DDoS deflate 预防DDoS攻击

    使用DDoS脚本防止DDoS攻击   使用DDoS脚本防止DDoS攻击: DDoS概述: 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,指借助于客户/服务 ...

  6. 被DDOS攻击的解决方法

    在DDOS分布式借"机"堵塞正常访问的非法攻击中,任何技术高手都成了文科生.只能用非专业的方法解决.DDOS攻击的重心是堵塞服务器,给域名解析访问造成困难,被攻击后我们可以采用以下 ...

  7. cc攻击和ddos攻击的区别和攻防 + 调SYN连接参数

    1.一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC),网络层就是利用肉鸡的流量去攻击目标网站的服务器,针对比较本源的东西去攻击,服务器瘫痪了,那么运行在服务器上的网站 ...

  8. 解决(防止)DDOS攻击的另一种思想

    本方案适合作最后的处理方案. 在服务器遭到DDOS攻击后,防火墙.高防盾或者其他的方案都已经失去了效力,这时运维人员无任何方案可以处理,并且只能任由DDOS攻击或关闭服务器时,该方案可以有限的抵挡大部 ...

  9. 记一次DDOS攻击防御实录

    前言     笔者所在单位是一家小型创业公司,目前产品正在成长阶段,日活跃用户只有区区几万人次,并发只有日均 85/QPS,自建机房,带宽 100MB.在这样的背景下,完全没想过一个小产品会招来黑客的 ...

随机推荐

  1. 【Tsinsen A1339】JZPLCM (树状数组)

    Description 原题链接 ​ 给定一长度为\(~n~\)的正整数序列\(~a~\),有\(~q~\)次询问,每次询问一段区间内所有数的\(~LCM~\)(即最小公倍数).由于答案可能很大,输出 ...

  2. [luogu2571][bzoj1857][SCOI2010]传送门【三分套三分】

    题目描述 在一个2维平面上有两条传送带,每一条传送带可以看成是一条线段.两条传送带分别为线段AB和线段CD.lxhgww在AB上的移动速度为P,在CD上的移动速度为Q,在平面上的移动速度R.现在lxh ...

  3. Apache虚拟主机+AD压力测试

    <Directory "/usr/local/awstats/wwwroot"> Options NoneAllowOverride None Order allow, ...

  4. DBC格式解析(以文本形式打开)

    我们先来看一段数据 BO_ 1024 VOLTAGE01: 8 BMS2 SG_ V01 : 7|16@0+ (0.001,0) [0|0] "" Vector__XXX SG_ ...

  5. 一张图看懂JVM

    https://mp.weixin.qq.com/s?__biz=MzAxNjk4ODE4OQ==&mid=2247484432&idx=1&sn=381c98c49ffb81 ...

  6. bzoj4036[HAOI2015]set 按位或

    Vfk的集合幂级数论文的例题….随机集合并为全集的期望集合数….这篇题解里的东西基本来自vfk的论文. 首先根据期望的线性性,我们把需要走第1步的概率(一定为1)加上需要走第2步的概率(等于走了第一步 ...

  7. python(一)——初识与变量

    ---恢复内容开始--- #!/usr/bin/env python #-*- coding:utf8 -*- print('你好hello world') 第一行,主要用于Linux中环境变量,wi ...

  8. canvas的api小结

    HTML <canvas id="canvas"></canvas> Javascript var canvas=document.getElementBy ...

  9. Spring MVC 架构的java web工程如何添加登录过滤器

    发布到外网的web工程必须添加登录过滤器来阻挡一些非法的请求,即只有登录的用户才能对web工程进行请求,否则无论请求什么资源都需要调整到登录页面进行登录操作.这时就需要用到过滤器,其实非常简单,只需要 ...

  10. (线性dp 最大连续和)POJ 2479 Maximum sum

    Maximum sum Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 44459   Accepted: 13794 Des ...