起因

线上项目突然遭到大量的非法参数攻击,由于历史问题,之前的代码从未对请求参数进行校验。

导致大量请求落到了数据访问层,给应用服务器和数据库都带来了很大压力。

针对这个问题,只能对请求真正到Controller方法调用之前直接将非法参数请求拒绝掉,所以在Filter中对参数进行统一校验,非法参数直接返回400。

定义参数检查规则:

  1. 先检查uri是否需要拦截
  2. 再检查请求参数是否合法:对于请求参数的检查,如果有值,不能存在非法值
  3. 最后检查cookie是否正确:检查必须存在的cookie参数

代码示例

package com.lenovo.moc.portal.filter;

import java.io.IOException;

import java.util.ArrayList;

import java.util.Enumeration;

import java.util.HashMap;

import java.util.List;

import java.util.Map;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.Cookie;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import com.lenovo.moc.portal.util.SessionUtil;

import com.lenovo.moc.portal.util.WebUtil;

/**

 * 检查请求参数过滤器<br />

 * 从2方面验证请求参数的有效性:检查cookie和请求参数 <br />

 * @date 2017年8月9日

 */

public class CheckRequestParamFilter implements Filter {

	private static final Logger logger = LoggerFactory.getLogger(CheckRequestParamFilter.class);

	private static final List<String> anonUriList = new ArrayList<String>(); // 不需要进行参数和cookie检查额uri列表

	{

		anonUriList.add("/home.do");

		anonUriList.add("/home_login_callback.do");

		anonUriList.add("/home_login_demo.do");

		anonUriList.add("/home_logout.do");

		anonUriList.add("/home_admin_logout.do");

	}

	public void init(FilterConfig filterConfig) throws ServletException {

		if(logger.isDebugEnabled()) {

			logger.debug("CheckRequestParamFilter init");

		}

	}

	// 参数和cookie检查

	// 1. 先检查uri是否需要拦截

	// 2. 再检查请求参数是否合法

	// 3. 最后检查cookie是否正确

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

			throws IOException, ServletException {

		HttpServletRequest req = (HttpServletRequest)request;

		HttpServletResponse resp = (HttpServletResponse)response;

		String uri = req.getRequestURI();

		if(checkUri(req, resp, uri)) {

			chain.doFilter(request, response);

			return;

		}

		if(!checkParams(req, resp, uri)) {

			return;

		}

		if(!checkCookie(req, resp, uri)) {

			return;

		}

		chain.doFilter(request, response);

	}

	/**

	 * 检查uri是否需要检查参数

	 * @param req

	 * @param resp

	 * @param uri

	 * @return 不需要检查,返回true; 否则返回false.

	 */

	private boolean checkUri(HttpServletRequest req, HttpServletResponse resp, String uri) {

		if(logger.isDebugEnabled()) {

			logger.debug("request uri: {}", uri.trim());

		}

		uri = uri.substring(req.getContextPath().length());

		return anonUriList.contains(uri.trim());

	}

	/**

	 * 请求参数如果不为空,则不能包含特殊字符

	 * @param req

	 * @param resp

	 * @param uri

	 * @return

	 */

	private boolean checkParams(HttpServletRequest req, HttpServletResponse resp, String uri) {

		Enumeration<?> enumeration = req.getParameterNames();

		while(enumeration.hasMoreElements()) {

			String key = enumeration.nextElement().toString();

			Object value = req.getParameter(key);

			if(value == null || "".equals(value.toString().trim())) {

				continue;

			}

			if(containsInvalidChars(value.toString())) {

				logger.error("request param value contains invalid chars! param name: {}, param value: {}, uri: {}", key, value, uri);

				return false;

			}

			if(containsInvalidString(value.toString())) {

				logger.error("request param value contains invalid string! parma name: {}, param value: {}, uri: {}", key, value, uri);

				return false;

			}

		}

		if(logger.isDebugEnabled()) {

			logger.debug("check all request parameters are valid, uri: {}", uri);

		}

		return true;

	}

	/**

	 * 检查是否包含特殊字符

	 * @param value

	 * @return

	 */

	private static boolean containsInvalidChars(String value) {

		String regex = "[`~!#$%^&()|{}';'\\[\\]<>?~!#¥%……&()——|{}【】‘;:”“’。,、?]";

		Pattern pattern = Pattern.compile(regex);

		Matcher matcher = pattern.matcher(value);

		return matcher.find();

	}

	/**

	 * 检查是否包含特殊字符串

	 * @param value

	 * @return

	 */

	private static boolean containsInvalidString(String value) {

		return value.contains("select") ||

	           value.contains("nslookup")  ||

	           value.contains("sleep");

	}

	/**

	 * 指定cookie必须存在

	 * @param req

	 * @param resp

	 * @param uri

	 * @return

	 * @throws IOException

	 */

	private boolean checkCookie(HttpServletRequest req, HttpServletResponse resp, String uri) throws IOException {

		Map<String, String> cookieMap = new HashMap<String, String>();

		Cookie[] cookies = req.getCookies();

		for(Cookie c : cookies) {

			cookieMap.put(c.getName(), c.getValue());

		}

		// 检查SessionUtil.LOGIN_STAFF_ID

		String loginStaffId = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_STAFF_ID));

		if(loginStaffId == null) {

			logger.error("login staff id cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_COMPANY_ID

		String loginCompanyId = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_COMPANY_ID));

		if(loginCompanyId == null) {

			logger.error("login company id cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_COMPANY_NAME

		String loginCompanyName = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_COMPANY_NAME));

		if(loginCompanyName == null) {

			logger.error("login company name cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_NAME

		String loginUserName = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_NAME));

		if(loginUserName == null) {

			logger.error("login user name cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ACCOUNT

		String loginUserAccount = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ACCOUNT));

		if(loginUserAccount == null) {

			logger.error("login user account cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ROLE

		String loginUserRole = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ROLE));

		if(loginUserRole == null) {

			logger.error("login user role cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ROLE_CODE

		String loginUserCode = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ROLE_CODE));

		if(loginUserCode == null) {

			logger.error("login user role code cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		if(logger.isDebugEnabled()) {

			logger.debug("check all cookies are valid, uri: {}", uri);

		}

		return true;

	}

	/**

	 * 断开与客户端的连接

	 * @param req

	 * @param resp

	 * @param message

	 * @throws IOException

	 */

	private void deny(HttpServletRequest req, HttpServletResponse resp, String message) throws IOException {

		resp.setStatus(HttpServletResponse.SC_BAD_REQUEST);

		resp.getWriter().write(message);

		resp.getWriter().close();

	}

	public void destroy() {

	}

}

记一次解决非法参数DDoS攻击的实践的更多相关文章

  1. 记一次ntp反射放大ddos攻击

    2018/3/26 ,共计310G左右的DDoS攻击 临时解决办法:将web服务转移到同生产一个内网段的备份服务器a上,a提供web端口80,数据库通过内网连接还是沿用生产数据库. 后续解决办法:通过 ...

  2. 反爬虫和抗DDOS攻击技术实践

    导语 企鹅媒体平台媒体名片页反爬虫技术实践,分布式网页爬虫技术.利用人工智能进行人机识别.图像识别码.频率访问控制.利用无头浏览器PhantomJS.Selenium 进行网页抓取等相关技术不在本文讨 ...

  3. 游戏行业DDoS攻击解决方案

    行业综述 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游戏市场收入超过美国和日本,成为全球榜首. 游戏行业的快速发展.高额的攻击利润.日 ...

  4. 阿里云:游戏行业DDoS攻击解决方案

    转自:http://www.gamelook.com.cn/2018/01/319420 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游 ...

  5. Linux+DDoS deflate 预防DDoS攻击

    使用DDoS脚本防止DDoS攻击   使用DDoS脚本防止DDoS攻击: DDoS概述: 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,指借助于客户/服务 ...

  6. 被DDOS攻击的解决方法

    在DDOS分布式借"机"堵塞正常访问的非法攻击中,任何技术高手都成了文科生.只能用非专业的方法解决.DDOS攻击的重心是堵塞服务器,给域名解析访问造成困难,被攻击后我们可以采用以下 ...

  7. cc攻击和ddos攻击的区别和攻防 + 调SYN连接参数

    1.一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC),网络层就是利用肉鸡的流量去攻击目标网站的服务器,针对比较本源的东西去攻击,服务器瘫痪了,那么运行在服务器上的网站 ...

  8. 解决(防止)DDOS攻击的另一种思想

    本方案适合作最后的处理方案. 在服务器遭到DDOS攻击后,防火墙.高防盾或者其他的方案都已经失去了效力,这时运维人员无任何方案可以处理,并且只能任由DDOS攻击或关闭服务器时,该方案可以有限的抵挡大部 ...

  9. 记一次DDOS攻击防御实录

    前言     笔者所在单位是一家小型创业公司,目前产品正在成长阶段,日活跃用户只有区区几万人次,并发只有日均 85/QPS,自建机房,带宽 100MB.在这样的背景下,完全没想过一个小产品会招来黑客的 ...

随机推荐

  1. 【题解】 bzoj1135: [POI2009]Lyz (线段树+霍尔定理)

    题面戳我 Solution 二分图是显然的,用二分图匹配显然在这个范围会炸的很惨,我们考虑用霍尔定理. 我们任意选取穿\(l,r\)的号码鞋子的人,那么这些人可以穿的鞋子的范围是\(l,r+d\),这 ...

  2. 工作队列.py

    #对列模式图Work Queue背后的主要思想是避免立即执行资源密集型任务的时,需要等待其他任务完成.所以我们把任务安排的晚一些,我们封装一个任务到消息中并把它发送到队列,一个进程运行在后端发送并最终 ...

  3. MOSFET的半桥驱动电路设计要领详解

    1 引言 MOSFET凭开关速度快.导通电阻低等优点在开关电源及电机驱动等应用中得到了广泛应用.要想使MOSFET在应用中充分发挥其性能,就必须设计一个适合应用的最优驱动电路和参数.在应用中MOSFE ...

  4. js原生事件系统与坐标系统

    今天来实现一个可兼容的js原生拖拽,在这里面我将会讲到: 1.封装兼容性的事件系统. 2.封装得到鼠标当前位置的系统. 3.完成拖拽的实现. 首先,我们要讲到鼠标位置的获取,讲到这个,就离不开js的w ...

  5. 洛谷P3810 陌上花开 CDQ分治(三维偏序)

    好,这是一道三维偏序的模板题 当然没那么简单..... 首先谴责洛谷一下:可怜的陌上花开的题面被无情的消灭了: 这么好听的名字#(滑稽) 那么我们看了题面后就发现:这就是一个三维偏序.只不过ans不加 ...

  6. [luogu3377][左偏树(可并堆)]

    题目链接 思路 左偏树的模板题,参考左偏树学习笔记 对于这道题我是用一个并查集维护出了哪些点是在同一棵树上,也可以直接log的往上跳寻找根节点 代码 #include<cstdio> #i ...

  7. Maven初窥门径

    Maven项目对象模型,可以使用一小段描述来管理项目的构建,报告和文档的软件项目管理工具. 安装 下载地址:http://maven.apache.org/download.cgi 下载解压,我将它放 ...

  8. 在Linux中复制文件夹下的全部文件到另外文件夹

    https://jingyan.baidu.com/article/656db918f83c0de380249c5a.html 在Linux系统中复制或拷贝文件我们可以用cp或者copy命令,但要对一 ...

  9. Failed to resolve: com.android.support:appcompat-v7:28 问题解决

    apply plugin: 'com.android.application' android { compileSdkVersion buildToolsVersion "28.0.2&q ...

  10. TCP多线程聊天室

    TCP协议,一个服务器(ServerSocket)只服务于一个客户端(Socket),那么可以通过ServerSocket+Thread的方式,实现一个服务器服务于多个客户端. 多线程服务器实现原理— ...