用于防止滥用的 Servlet 过滤器？ （DoS、垃圾邮件等）

Posted 2023-02-26

【中文标题】用于防止滥用的 Servlet 过滤器？ （DoS、垃圾邮件等）

【英文标题】：Servlet filters for abuse prevention? (DoS, spam, etc)

【发布时间】：2011-03-07 23:03:09

【问题描述】：

我正在寻找一个 servlet 过滤器库，它可以帮助我保护我们的 Web 服务免受未经授权的使用和 DDoS。

我们的网络服务有“授权客户”，因此理想情况下，过滤器将有助于检测未经授权或行为不当的客户，或检测使用同一帐户的多人。此外，我们需要一种方法来防止我们的各种服务遭到 DoS 攻击，因为我们有一个开放帐户政策——限制用户同时连接的数量等。

我们已经研究过 Tomcat LockOutFilter 等，但它们相当原始，只能防止一种攻击。

当然，该解决方案有许多特定于应用程序的组件，但我想知道是否有人编写了一个通用解决方案作为起点。

【参考方案1】：

Apache Shiro 是一个有趣的安全解决方案（在加入 Apache.org 之前它被称为 jSecurity）。我发现他们的源代码更容易理解和调整以满足我的需求，也更容易集成。

【参考方案2】：

iTransformers DDOS servlet 过滤器是一个很好的 servlet 过滤器示例，它能够应用远程触发黑洞https://www.rfc-editor.org/rfc/rfc5635，这是保护自己免受 DDOS 攻击的唯一真正/良好且可扩展的方法。

【参考方案3】：

如果您使用的是 Spring，那么 Acegi security 就非常完整了。Here is a series of tutorial articles。 看起来你可以在不需要 Spring 的情况下运行它，See here。