起因

线上项目突然遭到大量的非法参数攻击,由于历史问题,之前的代码从未对请求参数进行校验。

导致大量请求落到了数据访问层,给应用服务器和数据库都带来了很大压力。

针对这个问题,只能对请求真正到Controller方法调用之前直接将非法参数请求拒绝掉,所以在Filter中对参数进行统一校验,非法参数直接返回400。

定义参数检查规则:

  1. 先检查uri是否需要拦截
  2. 再检查请求参数是否合法:对于请求参数的检查,如果有值,不能存在非法值
  3. 最后检查cookie是否正确:检查必须存在的cookie参数

代码示例

package com.lenovo.moc.portal.filter;

import java.io.IOException;

import java.util.ArrayList;

import java.util.Enumeration;

import java.util.HashMap;

import java.util.List;

import java.util.Map;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.Cookie;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import com.lenovo.moc.portal.util.SessionUtil;

import com.lenovo.moc.portal.util.WebUtil;

/**

 * 检查请求参数过滤器<br />

 * 从2方面验证请求参数的有效性:检查cookie和请求参数 <br />

 * @date 2017年8月9日

 */

public class CheckRequestParamFilter implements Filter {

	private static final Logger logger = LoggerFactory.getLogger(CheckRequestParamFilter.class);

	private static final List<String> anonUriList = new ArrayList<String>(); // 不需要进行参数和cookie检查额uri列表

	{

		anonUriList.add("/home.do");

		anonUriList.add("/home_login_callback.do");

		anonUriList.add("/home_login_demo.do");

		anonUriList.add("/home_logout.do");

		anonUriList.add("/home_admin_logout.do");

	}

	public void init(FilterConfig filterConfig) throws ServletException {

		if(logger.isDebugEnabled()) {

			logger.debug("CheckRequestParamFilter init");

		}

	}

	// 参数和cookie检查

	// 1. 先检查uri是否需要拦截

	// 2. 再检查请求参数是否合法

	// 3. 最后检查cookie是否正确

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

			throws IOException, ServletException {

		HttpServletRequest req = (HttpServletRequest)request;

		HttpServletResponse resp = (HttpServletResponse)response;

		String uri = req.getRequestURI();

		if(checkUri(req, resp, uri)) {

			chain.doFilter(request, response);

			return;

		}

		if(!checkParams(req, resp, uri)) {

			return;

		}

		if(!checkCookie(req, resp, uri)) {

			return;

		}

		chain.doFilter(request, response);

	}

	/**

	 * 检查uri是否需要检查参数

	 * @param req

	 * @param resp

	 * @param uri

	 * @return 不需要检查,返回true; 否则返回false.

	 */

	private boolean checkUri(HttpServletRequest req, HttpServletResponse resp, String uri) {

		if(logger.isDebugEnabled()) {

			logger.debug("request uri: {}", uri.trim());

		}

		uri = uri.substring(req.getContextPath().length());

		return anonUriList.contains(uri.trim());

	}

	/**

	 * 请求参数如果不为空,则不能包含特殊字符

	 * @param req

	 * @param resp

	 * @param uri

	 * @return

	 */

	private boolean checkParams(HttpServletRequest req, HttpServletResponse resp, String uri) {

		Enumeration<?> enumeration = req.getParameterNames();

		while(enumeration.hasMoreElements()) {

			String key = enumeration.nextElement().toString();

			Object value = req.getParameter(key);

			if(value == null || "".equals(value.toString().trim())) {

				continue;

			}

			if(containsInvalidChars(value.toString())) {

				logger.error("request param value contains invalid chars! param name: {}, param value: {}, uri: {}", key, value, uri);

				return false;

			}

			if(containsInvalidString(value.toString())) {

				logger.error("request param value contains invalid string! parma name: {}, param value: {}, uri: {}", key, value, uri);

				return false;

			}

		}

		if(logger.isDebugEnabled()) {

			logger.debug("check all request parameters are valid, uri: {}", uri);

		}

		return true;

	}

	/**

	 * 检查是否包含特殊字符

	 * @param value

	 * @return

	 */

	private static boolean containsInvalidChars(String value) {

		String regex = "[`~!#$%^&()|{}';'\\[\\]<>?~!#¥%……&()——|{}【】‘;:”“’。,、?]";

		Pattern pattern = Pattern.compile(regex);

		Matcher matcher = pattern.matcher(value);

		return matcher.find();

	}

	/**

	 * 检查是否包含特殊字符串

	 * @param value

	 * @return

	 */

	private static boolean containsInvalidString(String value) {

		return value.contains("select") ||

	           value.contains("nslookup")  ||

	           value.contains("sleep");

	}

	/**

	 * 指定cookie必须存在

	 * @param req

	 * @param resp

	 * @param uri

	 * @return

	 * @throws IOException

	 */

	private boolean checkCookie(HttpServletRequest req, HttpServletResponse resp, String uri) throws IOException {

		Map<String, String> cookieMap = new HashMap<String, String>();

		Cookie[] cookies = req.getCookies();

		for(Cookie c : cookies) {

			cookieMap.put(c.getName(), c.getValue());

		}

		// 检查SessionUtil.LOGIN_STAFF_ID

		String loginStaffId = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_STAFF_ID));

		if(loginStaffId == null) {

			logger.error("login staff id cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_COMPANY_ID

		String loginCompanyId = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_COMPANY_ID));

		if(loginCompanyId == null) {

			logger.error("login company id cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_COMPANY_NAME

		String loginCompanyName = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_COMPANY_NAME));

		if(loginCompanyName == null) {

			logger.error("login company name cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_NAME

		String loginUserName = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_NAME));

		if(loginUserName == null) {

			logger.error("login user name cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ACCOUNT

		String loginUserAccount = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ACCOUNT));

		if(loginUserAccount == null) {

			logger.error("login user account cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ROLE

		String loginUserRole = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ROLE));

		if(loginUserRole == null) {

			logger.error("login user role cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		// 检查SessionUtil.LOGIN_USER_ROLE_CODE

		String loginUserCode = cookieMap.get(WebUtil.md5(SessionUtil.LOGIN_USER_ROLE_CODE));

		if(loginUserCode == null) {

			logger.error("login user role code cookie NOT FOUND! uri: {}", uri);

			deny(req, resp, "invalid param");

			return false;

		}

		if(logger.isDebugEnabled()) {

			logger.debug("check all cookies are valid, uri: {}", uri);

		}

		return true;

	}

	/**

	 * 断开与客户端的连接

	 * @param req

	 * @param resp

	 * @param message

	 * @throws IOException

	 */

	private void deny(HttpServletRequest req, HttpServletResponse resp, String message) throws IOException {

		resp.setStatus(HttpServletResponse.SC_BAD_REQUEST);

		resp.getWriter().write(message);

		resp.getWriter().close();

	}

	public void destroy() {

	}

}

记一次解决非法参数DDoS攻击的实践的更多相关文章

  1. 记一次ntp反射放大ddos攻击

    2018/3/26 ,共计310G左右的DDoS攻击 临时解决办法:将web服务转移到同生产一个内网段的备份服务器a上,a提供web端口80,数据库通过内网连接还是沿用生产数据库. 后续解决办法:通过 ...

  2. 反爬虫和抗DDOS攻击技术实践

    导语 企鹅媒体平台媒体名片页反爬虫技术实践,分布式网页爬虫技术.利用人工智能进行人机识别.图像识别码.频率访问控制.利用无头浏览器PhantomJS.Selenium 进行网页抓取等相关技术不在本文讨 ...

  3. 游戏行业DDoS攻击解决方案

    行业综述 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游戏市场收入超过美国和日本,成为全球榜首. 游戏行业的快速发展.高额的攻击利润.日 ...

  4. 阿里云:游戏行业DDoS攻击解决方案

    转自:http://www.gamelook.com.cn/2018/01/319420 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游 ...

  5. Linux+DDoS deflate 预防DDoS攻击

    使用DDoS脚本防止DDoS攻击   使用DDoS脚本防止DDoS攻击: DDoS概述: 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,指借助于客户/服务 ...

  6. 被DDOS攻击的解决方法

    在DDOS分布式借"机"堵塞正常访问的非法攻击中,任何技术高手都成了文科生.只能用非专业的方法解决.DDOS攻击的重心是堵塞服务器,给域名解析访问造成困难,被攻击后我们可以采用以下 ...

  7. cc攻击和ddos攻击的区别和攻防 + 调SYN连接参数

    1.一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC),网络层就是利用肉鸡的流量去攻击目标网站的服务器,针对比较本源的东西去攻击,服务器瘫痪了,那么运行在服务器上的网站 ...

  8. 解决(防止)DDOS攻击的另一种思想

    本方案适合作最后的处理方案. 在服务器遭到DDOS攻击后,防火墙.高防盾或者其他的方案都已经失去了效力,这时运维人员无任何方案可以处理,并且只能任由DDOS攻击或关闭服务器时,该方案可以有限的抵挡大部 ...

  9. 记一次DDOS攻击防御实录

    前言     笔者所在单位是一家小型创业公司,目前产品正在成长阶段,日活跃用户只有区区几万人次,并发只有日均 85/QPS,自建机房,带宽 100MB.在这样的背景下,完全没想过一个小产品会招来黑客的 ...

随机推荐

  1. HTML head标签内部常用设置

    HTML head标签内部常用设置 在网页html文件中,head标签里面通常放置的代码是用来对网页进行相关设置的内容.下面就是对这些内容的介绍. meta标签的设置 在网页中,meta标签最常用的设 ...

  2. [NOI2016]优秀的拆分&&BZOJ2119股市的预测

    [NOI2016]优秀的拆分 https://www.lydsy.com/JudgeOnline/problem.php?id=4650 题解 如果我们能够统计出一个数组a,一个数组b,a[i]表示以 ...

  3. PHP基础学习----字符串操作

    1.单引号和双引号的区别 在php中,字符串的定义可以使用英文单引号'',也可以使用英文双引号“”: <?php $str = 'hello'; echo "str is $str&q ...

  4. 上pixiv解决法(保存)

    C:\Windows\System32\drivers\etc\hosts 127.0.0.1 localhost 127.0.0.1 advstat.xunlei.com 127.0.0.1 cl. ...

  5. UOJ#422 小Z的礼物

    非常神奇的一个套路......首先min-max容斥一波,变成枚举子集然后求所有子集min的期望. 一个子集的期望怎么求?我们可以求出所有的r个选法中能够选到这个子集的方案数k,那么概率就是k / r ...

  6. 收集JavaScript中常用的方法函数

    本文中,收集了一些比较常用的Javascript函数,希望对学习JS的朋友们有所帮助. 1. 字符串长度截取 function cutstr(str, len) { var temp, icount ...

  7. 【洛谷P1060 开心的金明】

    题目描述 金明今天很开心,家里购置的新房就要领钥匙了,新房里有一间他自己专用的很宽敞的房间.更让他高兴的是,妈妈昨天对他说:“你的房间需要购买哪些物品,怎么布置,你说了算,只要不超过NNN元钱就行”. ...

  8. react-native中的请求数据

    很多移动应用都需要从远程地址中获取数据或资源.你可能需要给某个 REST API 发起 POST 请求以提交用户数据,又或者可能仅仅需要从某个服务器上获取一些静态内容. 使用 Fetch React ...

  9. Python之黏包

    黏包现象 让我们基于tcp先制作一个远程执行命令的程序(命令ls -l ; lllllll ; pwd) res=subprocess.Popen(cmd.decode('utf-8'), shell ...

  10. C++基础知识-Day8

    2.类的作用域运算符 shadow 在我们之前讲的内容中,我们会发现一种情况,就是在我们在不同类中的打印函数我们都是尽量让其名字不同,那么为什么会有这种情况呢?首先我们来看一个函数 void func ...