起因

线上项目突然遭到大量的非法参数攻击,由于历史问题,之前的代码从未对请求参数进行校验。

导致大量请求落到了数据访问层,给应用服务器和数据库都带来了很大压力。

针对这个问题,只能对请求真正到Controller方法调用之前直接将非法参数请求拒绝掉,所以在Filter中对参数进行统一校验,非法参数直接返回400。

定义参数检查规则:

  1. 先检查uri是否需要拦截
  2. 再检查请求参数是否合法:对于请求参数的检查,如果有值,不能存在非法值
  3. 最后检查cookie是否正确:检查必须存在的cookie参数

代码示例

package com.lenovo.moc.portal.filter;

import java.io.IOException;

import java.util.ArrayList;

import java.util.Enumeration;

import java.util.HashMap;

import java.util.List;

import java.util.Map;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.Cookie;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import com.lenovo.moc.portal.util.SessionUtil;

import com.lenovo.moc.portal.util.WebUtil;

/**

 * 检查请求参数过滤器<br />

 * 从2方面验证请求参数的有效性:检查cookie和请求参数 <br />

 * @date 2017年8月9日

 */

public class CheckRequestParamFilter implements Filter {

	private static final Logger logger = LoggerFactory.getLogger(CheckRequestParamFilter.class);

	private static final List<String> anonUriList = new ArrayList<String>(); // 不需要进行参数和cookie检查额uri列表

	{

		anonUriList.add("/home.do");

		anonUriList.add("/home_login_callback.do");

		anonUriList.add("/home_login_demo.do");

		anonUriList.add("/home_logout.do");

		anonUriList.add("/home_admin_logout.do");

	}

	public void init(FilterConfig filterConfig) throws ServletException {

		if(logger.isDebugEnabled()) {

			logger.debug("CheckRequestParamFilter init");

		}

	}

	// 参数和cookie检查

	// 1. 先检查uri是否需要拦截

	// 2. 再检查请求参数是否合法

	// 3. 最后检查cookie是否正确

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

			throws IOException, ServletException {

		HttpServletRequest req = (HttpServletRequest)request;

		HttpServletResponse resp = (HttpServletResponse)response;

		String uri = req.getRequestURI();

		if(checkUri(req, resp, uri)) {

			chain.doFilter(request, response);

			return;

		}

		if(!checkParams(req, resp, uri)) {

			return;

		}

		if(!checkCookie(req, resp, uri)) {

			return;

		}

		chain.doFilter(request, response);

	}

	/**

	 * 检查uri是否需要检查参数

	 * @param req

	 * @param resp

	 * @param uri

	 * @return 不需要检查,返回true; 否则返回false.

	 */

	private boolean checkUri(HttpServletRequest req, HttpServletResponse resp, String uri) {

		if(logger.isDebugEnabled()) {

			logger.debug("request uri: {}", uri.trim());

		}

		uri = uri.substring(req.getContextPath().length());

		return anonUriList.contains(uri.trim());

	}

	/**

	 * 请求参数如果不为空,则不能包含特殊字符

	 * @param req

	 * @param resp

	 * @param uri

	 * @return

	 */

	private boolean checkParams(HttpServletRequest req, HttpServletResponse resp, String uri) {

		Enumeration<?> enumeration = req.getParameterNames();

		while(enumeration.hasMoreElements()) {

			String key = enumeration.nextElement().toString();

			Object value = req.getParameter(key);

			if(value == null || "".equals(value.toString().trim())) {

				continue;

			}

			if(containsInvalidChars(value.toString())) {

				logger.error("request param value contains invalid chars! param name: {}, param value: {}, uri: {}", key, value, uri);

				return false;

			}

			if(containsInvalidString(value.toString())) {

				logger.error("request param value contains invalid string! parma name: {}, param value: {}, uri: {}", key, value, uri);

				return false;

			}

		}

		if(logger.isDebugEnabled()) {

			logger.debug("check all request parameters are valid, uri: {}", uri);

		}

		return true;

	}

	/**

	 * 检查是否包含特殊字符

	 * @param value

	 * @return

	 */

	private static boolean containsInvalidChars(String value) {

		String regex = "[`~!#$%^&()|{}';'\\[\\]<>?~!#¥%……&()——|{}【】‘;:”“’。,、?]";

		Pattern pattern = Pattern.compile(regex);

		Matcher matcher = pattern.matcher(value);

		return matcher.find();

	}

	/**

	 * 检查是否包含特殊字符串

	 * @param value

	 * @return

	 */

	private static boolean containsInvalidString(String value) {

		return value.contains("select") ||

	           value.contains("nslookup")  ||

	           value.contains("sleep");

	}

	/**

	 * 指定cookie必须存在

	 * @param req

	 * @param resp

	 * @param uri

	 * @return

	 * @throws IOException

	 */

	private boolean checkCookie(HttpServletRequest req, HttpServletResponse resp, String uri) throws IOException {

		Map<String, String> cookieMap = new HashMap<String, String>();

		Cookie[] cookies = req.getCookies();

		for(Cookie c : cookies) {

			cookieMap.put(c.getName(), c.getValue());

		}

		// 检查SessionUtil.LOGIN_STAFF_ID

		String loginStaffId = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_STAFF_ID));

		if(loginStaffId == null) {

			logger.error("login staff id cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_COMPANY_ID

		String loginCompanyId = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_COMPANY_ID));

		if(loginCompanyId == null) {

			logger.error("login company id cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_COMPANY_NAME

		String loginCompanyName = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_COMPANY_NAME));

		if(loginCompanyName == null) {

			logger.error("login company name cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_NAME

		String loginUserName = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_NAME));

		if(loginUserName == null) {

			logger.error("login user name cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ACCOUNT

		String loginUserAccount = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ACCOUNT));

		if(loginUserAccount == null) {

			logger.error("login user account cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ROLE

		String loginUserRole = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ROLE));

		if(loginUserRole == null) {

			logger.error("login user role cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ROLE_CODE

		String loginUserCode = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ROLE_CODE));

		if(loginUserCode == null) {

			logger.error("login user role code cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		if(logger.isDebugEnabled()) {

			logger.debug("check all cookies are valid, uri: {}", uri);

		}

		return true;

	}

	/**

	 * 断开与客户端的连接

	 * @param req

	 * @param resp

	 * @param message

	 * @throws IOException

	 */

	private void deny(HttpServletRequest req, HttpServletResponse resp, String message) throws IOException {

		resp.setStatus(HttpServletResponse.SC_BAD_REQUEST);

		resp.getWriter().write(message);

		resp.getWriter().close();

	}

	public void destroy() {

	}

}

记一次解决非法参数DDoS攻击的实践的更多相关文章

  1. 记一次ntp反射放大ddos攻击

    2018/3/26 ,共计310G左右的DDoS攻击 临时解决办法:将web服务转移到同生产一个内网段的备份服务器a上,a提供web端口80,数据库通过内网连接还是沿用生产数据库. 后续解决办法:通过 ...

  2. 反爬虫和抗DDOS攻击技术实践

    导语 企鹅媒体平台媒体名片页反爬虫技术实践,分布式网页爬虫技术.利用人工智能进行人机识别.图像识别码.频率访问控制.利用无头浏览器PhantomJS.Selenium 进行网页抓取等相关技术不在本文讨 ...

  3. 游戏行业DDoS攻击解决方案

    行业综述 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游戏市场收入超过美国和日本,成为全球榜首. 游戏行业的快速发展.高额的攻击利润.日 ...

  4. 阿里云:游戏行业DDoS攻击解决方案

    转自:http://www.gamelook.com.cn/2018/01/319420 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游 ...

  5. Linux+DDoS deflate 预防DDoS攻击

    使用DDoS脚本防止DDoS攻击   使用DDoS脚本防止DDoS攻击: DDoS概述: 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,指借助于客户/服务 ...

  6. 被DDOS攻击的解决方法

    在DDOS分布式借"机"堵塞正常访问的非法攻击中,任何技术高手都成了文科生.只能用非专业的方法解决.DDOS攻击的重心是堵塞服务器,给域名解析访问造成困难,被攻击后我们可以采用以下 ...

  7. cc攻击和ddos攻击的区别和攻防 + 调SYN连接参数

    1.一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC),网络层就是利用肉鸡的流量去攻击目标网站的服务器,针对比较本源的东西去攻击,服务器瘫痪了,那么运行在服务器上的网站 ...

  8. 解决(防止)DDOS攻击的另一种思想

    本方案适合作最后的处理方案. 在服务器遭到DDOS攻击后,防火墙.高防盾或者其他的方案都已经失去了效力,这时运维人员无任何方案可以处理,并且只能任由DDOS攻击或关闭服务器时,该方案可以有限的抵挡大部 ...

  9. 记一次DDOS攻击防御实录

    前言     笔者所在单位是一家小型创业公司,目前产品正在成长阶段,日活跃用户只有区区几万人次,并发只有日均 85/QPS,自建机房,带宽 100MB.在这样的背景下,完全没想过一个小产品会招来黑客的 ...

随机推荐

  1. 栈长这里是生成了一个 Maven 示例项目。

    Spring Cloud 的注册中心可以由 Eureka.Consul.Zookeeper.ETCD 等来实现,这里推荐使用 Spring Cloud Eureka 来实现注册中心,它基于 Netfl ...

  2. noiac132 B君的第三题 (树形dp)

    传送门 本来想用点分治做,结果root又求不对 算的时候还算错了 我好菜啊 结果szr大佬告诉我是树形dp 我好菜啊!! 我们有$\lceil \frac{x}{k} \rceil = \frac{x ...

  3. BZOJ3932: [CQOI2015]任务查询系统 主席树

    3932: [CQOI2015]任务查询系统 Time Limit: 20 Sec  Memory Limit: 512 MBSubmit: 4869  Solved: 1652[Submit][St ...

  4. 2019.4.1考试&2019.4.2考试&2019.4.4考试

    4.1:T1原题,T2码农板子题,T3板子题 4.2 好像是三个出题人分别出的 以及#define *** 傻逼 T1 思维好题 转成树形DP,$dp[i][j]$表示点i值为j的方案数,记录前缀和转 ...

  5. [NOI2017]游戏(2-SAT)

    这是约半年前写的题解了,就搬过来吧 感觉这是NOI2017最水的一题(当然我还是不会2333),因为是一道裸的2-SAT.我就是看着这道题学的2-SAT 算法一:暴力枚举.对于abc二进制枚举,对于x ...

  6. 在html页面通过js实现复制粘贴功能

    前言:要实现这个功能,常用的方式大概分为两类,第一种就是上插件,这个网上有大把,第二种就是直接用几行JS来实现. 这次说第二种实现方式,这方式有很大的局限性,只能用表单元素,并且不能设置disable ...

  7. POJ 2528 Mayor's posters (线段树+离散化)

    Mayor's posters Time Limit: 1000MS   Memory Limit: 65536K Total Submissions:75394   Accepted: 21747 ...

  8. 配置ssl

    1.配置 <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000&q ...

  9. 函数,参数数组params与数组参数,结构函数

    1.函数 static 返回值类型 函数名(形参1,形参2,...){        函数体;        return 返回值; } 无返回值,则static void 函数名(){ } stat ...

  10. jQuery中mouseleave和mouseout的区别详解

    很多人在使用jQuery实现鼠标悬停效果时,一般都会用到mouseover和mouseout这对事件.而在实现过程中,可能会出现一些不理想的状况. 先看下使用mouseout的效果: <p> ...