用于防止滥用的 Servlet 过滤器? (DoS、垃圾邮件等)

Posted

技术标签:

【中文标题】用于防止滥用的 Servlet 过滤器? (DoS、垃圾邮件等)【英文标题】:Servlet filters for abuse prevention? (DoS, spam, etc) 【发布时间】:2011-03-07 23:03:09 【问题描述】:

我正在寻找一个 servlet 过滤器库,它可以帮助我保护我们的 Web 服务免受未经授权的使用和 DDoS。

我们的网络服务有“授权客户”,因此理想情况下,过滤器将有助于检测未经授权或行为不当的客户,或检测使用同一帐户的多人。此外,我们需要一种方法来防止我们的各种服务遭到 DoS 攻击,因为我们有一个开放帐户政策——限制用户同时连接的数量等。

我们已经研究过 Tomcat LockOutFilter 等,但它们相当原始,只能防止一种攻击。

当然,该解决方案有许多特定于应用程序的组件,但我想知道是否有人编写了一个通用解决方案作为起点。

【问题讨论】:

【参考方案1】:

Apache Shiro 是一个有趣的安全解决方案(在加入 Apache.org 之前它被称为 jSecurity)。我发现他们的源代码更容易理解和调整以满足我的需求,也更容易集成。

【讨论】:

【参考方案2】:

iTransformers DDOS servlet 过滤器是一个很好的 servlet 过滤器示例,它能够应用远程触发黑洞https://www.rfc-editor.org/rfc/rfc5635,这是保护自己免受 DDOS 攻击的唯一真正/良好且可扩展的方法。

【讨论】:

【参考方案3】:

如果您使用的是 Spring,那么 Acegi security 就非常完整了。Here is a series of tutorial articles。 看起来你可以在不需要 Spring 的情况下运行它,See here。

【讨论】:

以上是关于用于防止滥用的 Servlet 过滤器? (DoS、垃圾邮件等)的主要内容,如果未能解决你的问题,请参考以下文章

过滤器(防止乱码)

图书管理系统( JSP + JDBC + Servlet )实现-02: 编写和配置过滤器(防止页面乱码)

通过防止用户在同一设备上注册来防止滥用促销

JSP使用过滤器防止SQL注入

jsp+servlet怎样防止用户用URL直接访问页面

防止滥用:Firebase 的云功能