起因

线上项目突然遭到大量的非法参数攻击,由于历史问题,之前的代码从未对请求参数进行校验。

导致大量请求落到了数据访问层,给应用服务器和数据库都带来了很大压力。

针对这个问题,只能对请求真正到Controller方法调用之前直接将非法参数请求拒绝掉,所以在Filter中对参数进行统一校验,非法参数直接返回400。

定义参数检查规则:

  1. 先检查uri是否需要拦截
  2. 再检查请求参数是否合法:对于请求参数的检查,如果有值,不能存在非法值
  3. 最后检查cookie是否正确:检查必须存在的cookie参数

代码示例

package com.lenovo.moc.portal.filter;

import java.io.IOException;

import java.util.ArrayList;

import java.util.Enumeration;

import java.util.HashMap;

import java.util.List;

import java.util.Map;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.Cookie;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import com.lenovo.moc.portal.util.SessionUtil;

import com.lenovo.moc.portal.util.WebUtil;

/**

 * 检查请求参数过滤器<br />

 * 从2方面验证请求参数的有效性:检查cookie和请求参数 <br />

 * @date 2017年8月9日

 */

public class CheckRequestParamFilter implements Filter {

	private static final Logger logger = LoggerFactory.getLogger(CheckRequestParamFilter.class);

	private static final List<String> anonUriList = new ArrayList<String>(); // 不需要进行参数和cookie检查额uri列表

	{

		anonUriList.add("/home.do");

		anonUriList.add("/home_login_callback.do");

		anonUriList.add("/home_login_demo.do");

		anonUriList.add("/home_logout.do");

		anonUriList.add("/home_admin_logout.do");

	}

	public void init(FilterConfig filterConfig) throws ServletException {

		if(logger.isDebugEnabled()) {

			logger.debug("CheckRequestParamFilter init");

		}

	}

	// 参数和cookie检查

	// 1. 先检查uri是否需要拦截

	// 2. 再检查请求参数是否合法

	// 3. 最后检查cookie是否正确

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

			throws IOException, ServletException {

		HttpServletRequest req = (HttpServletRequest)request;

		HttpServletResponse resp = (HttpServletResponse)response;

		String uri = req.getRequestURI();

		if(checkUri(req, resp, uri)) {

			chain.doFilter(request, response);

			return;

		}

		if(!checkParams(req, resp, uri)) {

			return;

		}

		if(!checkCookie(req, resp, uri)) {

			return;

		}

		chain.doFilter(request, response);

	}

	/**

	 * 检查uri是否需要检查参数

	 * @param req

	 * @param resp

	 * @param uri

	 * @return 不需要检查,返回true; 否则返回false.

	 */

	private boolean checkUri(HttpServletRequest req, HttpServletResponse resp, String uri) {

		if(logger.isDebugEnabled()) {

			logger.debug("request uri: {}", uri.trim());

		}

		uri = uri.substring(req.getContextPath().length());

		return anonUriList.contains(uri.trim());

	}

	/**

	 * 请求参数如果不为空,则不能包含特殊字符

	 * @param req

	 * @param resp

	 * @param uri

	 * @return

	 */

	private boolean checkParams(HttpServletRequest req, HttpServletResponse resp, String uri) {

		Enumeration<?> enumeration = req.getParameterNames();

		while(enumeration.hasMoreElements()) {

			String key = enumeration.nextElement().toString();

			Object value = req.getParameter(key);

			if(value == null || "".equals(value.toString().trim())) {

				continue;

			}

			if(containsInvalidChars(value.toString())) {

				logger.error("request param value contains invalid chars! param name: {}, param value: {}, uri: {}", key, value, uri);

				return false;

			}

			if(containsInvalidString(value.toString())) {

				logger.error("request param value contains invalid string! parma name: {}, param value: {}, uri: {}", key, value, uri);

				return false;

			}

		}

		if(logger.isDebugEnabled()) {

			logger.debug("check all request parameters are valid, uri: {}", uri);

		}

		return true;

	}

	/**

	 * 检查是否包含特殊字符

	 * @param value

	 * @return

	 */

	private static boolean containsInvalidChars(String value) {

		String regex = "[`~!#$%^&()|{}';'\\[\\]<>?~!#¥%……&()——|{}【】‘;:”“’。,、?]";

		Pattern pattern = Pattern.compile(regex);

		Matcher matcher = pattern.matcher(value);

		return matcher.find();

	}

	/**

	 * 检查是否包含特殊字符串

	 * @param value

	 * @return

	 */

	private static boolean containsInvalidString(String value) {

		return value.contains("select") ||

	           value.contains("nslookup")  ||

	           value.contains("sleep");

	}

	/**

	 * 指定cookie必须存在

	 * @param req

	 * @param resp

	 * @param uri

	 * @return

	 * @throws IOException

	 */

	private boolean checkCookie(HttpServletRequest req, HttpServletResponse resp, String uri) throws IOException {

		Map<String, String> cookieMap = new HashMap<String, String>();

		Cookie[] cookies = req.getCookies();

		for(Cookie c : cookies) {

			cookieMap.put(c.getName(), c.getValue());

		}

		// 检查SessionUtil.LOGIN_STAFF_ID

		String loginStaffId = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_STAFF_ID));

		if(loginStaffId == null) {

			logger.error("login staff id cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_COMPANY_ID

		String loginCompanyId = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_COMPANY_ID));

		if(loginCompanyId == null) {

			logger.error("login company id cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_COMPANY_NAME

		String loginCompanyName = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_COMPANY_NAME));

		if(loginCompanyName == null) {

			logger.error("login company name cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_NAME

		String loginUserName = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_NAME));

		if(loginUserName == null) {

			logger.error("login user name cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ACCOUNT

		String loginUserAccount = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ACCOUNT));

		if(loginUserAccount == null) {

			logger.error("login user account cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ROLE

		String loginUserRole = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ROLE));

		if(loginUserRole == null) {

			logger.error("login user role cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ROLE_CODE

		String loginUserCode = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ROLE_CODE));

		if(loginUserCode == null) {

			logger.error("login user role code cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		if(logger.isDebugEnabled()) {

			logger.debug("check all cookies are valid, uri: {}", uri);

		}

		return true;

	}

	/**

	 * 断开与客户端的连接

	 * @param req

	 * @param resp

	 * @param message

	 * @throws IOException

	 */

	private void deny(HttpServletRequest req, HttpServletResponse resp, String message) throws IOException {

		resp.setStatus(HttpServletResponse.SC_BAD_REQUEST);

		resp.getWriter().write(message);

		resp.getWriter().close();

	}

	public void destroy() {

	}

}

记一次解决非法参数DDoS攻击的实践的更多相关文章

  1. 记一次ntp反射放大ddos攻击

    2018/3/26 ,共计310G左右的DDoS攻击 临时解决办法:将web服务转移到同生产一个内网段的备份服务器a上,a提供web端口80,数据库通过内网连接还是沿用生产数据库. 后续解决办法:通过 ...

  2. 反爬虫和抗DDOS攻击技术实践

    导语 企鹅媒体平台媒体名片页反爬虫技术实践,分布式网页爬虫技术.利用人工智能进行人机识别.图像识别码.频率访问控制.利用无头浏览器PhantomJS.Selenium 进行网页抓取等相关技术不在本文讨 ...

  3. 游戏行业DDoS攻击解决方案

    行业综述 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游戏市场收入超过美国和日本,成为全球榜首. 游戏行业的快速发展.高额的攻击利润.日 ...

  4. 阿里云:游戏行业DDoS攻击解决方案

    转自:http://www.gamelook.com.cn/2018/01/319420 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游 ...

  5. Linux+DDoS deflate 预防DDoS攻击

    使用DDoS脚本防止DDoS攻击   使用DDoS脚本防止DDoS攻击: DDoS概述: 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,指借助于客户/服务 ...

  6. 被DDOS攻击的解决方法

    在DDOS分布式借"机"堵塞正常访问的非法攻击中,任何技术高手都成了文科生.只能用非专业的方法解决.DDOS攻击的重心是堵塞服务器,给域名解析访问造成困难,被攻击后我们可以采用以下 ...

  7. cc攻击和ddos攻击的区别和攻防 + 调SYN连接参数

    1.一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC),网络层就是利用肉鸡的流量去攻击目标网站的服务器,针对比较本源的东西去攻击,服务器瘫痪了,那么运行在服务器上的网站 ...

  8. 解决(防止)DDOS攻击的另一种思想

    本方案适合作最后的处理方案. 在服务器遭到DDOS攻击后,防火墙.高防盾或者其他的方案都已经失去了效力,这时运维人员无任何方案可以处理,并且只能任由DDOS攻击或关闭服务器时,该方案可以有限的抵挡大部 ...

  9. 记一次DDOS攻击防御实录

    前言     笔者所在单位是一家小型创业公司,目前产品正在成长阶段,日活跃用户只有区区几万人次,并发只有日均 85/QPS,自建机房,带宽 100MB.在这样的背景下,完全没想过一个小产品会招来黑客的 ...

随机推荐

  1. NOIP2018退役记(记事)

    希望还是要有的,万一退役了呢? Day1 听说300是大众分? 不会T2,不会T3,再别OI. Day2 听说200是大众分? T1FST掉,不会T2,不会T3,再别OI. 茶馆小人书 那些让我们聊以 ...

  2. [luogu3810][bzoj3262]陌下花开【cdq分治】

    题目描述 有n朵花,每朵花有三个属性:花形(s).颜色(c).气味(m),用三个整数表示.现在要对每朵花评级,一朵花的级别是它拥有的美丽能超过的花的数量.定义一朵花A比另一朵花B要美丽,当且仅Sa&g ...

  3. ELK部署详解--logstash

    logstash.yml # Settings file in YAML## Settings can be specified either in hierarchical form, e.g.:# ...

  4. Jarvis OJ [XMAN]level1 write up

    首先 老规矩,把软件拖到Ubuntu里checksec一下文件 然后知道了软件位数就放到IDA32里面... 熟悉的函数名... 缘真的妙不可言... 然后看了下vulnerable_function ...

  5. pip无法正常使用卸载并重新安装

    错误提示 ➜ ~ pip Traceback (most recent call last): File "/usr/bin/pip", line 11, in <modul ...

  6. 如何使用Senparc.Weixin SDK 底层的Redis缓存并设置过期时间

    最近在微信第三方平台项目开发中,有一个需求,所有绑定的公众号的回复规则按照主公众号的关键词配置来处理,我的处理思路是获取主公众号配置的关键词回复规则,缓存10分钟,由于需要使用Redis缓存来存储一些 ...

  7. 第三十四节,目标检测之谷歌Object Detection API源码解析

    我们在第三十二节,使用谷歌Object Detection API进行目标检测.训练新的模型(使用VOC 2012数据集)那一节我们介绍了如何使用谷歌Object Detection API进行目标检 ...

  8. 第十八节,TensorFlow中使用批量归一化(BN)

    在深度学习章节里,已经介绍了批量归一化的概念,详情请点击这里:第九节,改善深层神经网络:超参数调试.正则化以优化(下) 神经网络在进行训练时,主要是用来学习数据的分布规律,如果数据的训练部分和测试部分 ...

  9. Hibernate4

    内容简介:1.使用log4j的日志存储,2.一对一关系,3.二级缓存 1       整合log4j(了解) l  slf4j 核心jar  : slf4j-api-1.6.1.jar .slf4j是 ...

  10. Day037--Python--线程的其他方法,GIL, 线程事件,队列,线程池,协程

    1. 线程的一些其他方法 threading.current_thread()  # 线程对象 threading.current_thread().getName()  # 线程名称 threadi ...