用于防止滥用的 Servlet 过滤器? (DoS、垃圾邮件等)
Posted
技术标签:
【中文标题】用于防止滥用的 Servlet 过滤器? (DoS、垃圾邮件等)【英文标题】:Servlet filters for abuse prevention? (DoS, spam, etc) 【发布时间】:2011-03-07 23:03:09 【问题描述】:我正在寻找一个 servlet 过滤器库,它可以帮助我保护我们的 Web 服务免受未经授权的使用和 DDoS。
我们的网络服务有“授权客户”,因此理想情况下,过滤器将有助于检测未经授权或行为不当的客户,或检测使用同一帐户的多人。此外,我们需要一种方法来防止我们的各种服务遭到 DoS 攻击,因为我们有一个开放帐户政策——限制用户同时连接的数量等。
我们已经研究过 Tomcat LockOutFilter 等,但它们相当原始,只能防止一种攻击。
当然,该解决方案有许多特定于应用程序的组件,但我想知道是否有人编写了一个通用解决方案作为起点。
【问题讨论】:
【参考方案1】:Apache Shiro 是一个有趣的安全解决方案(在加入 Apache.org 之前它被称为 jSecurity)。我发现他们的源代码更容易理解和调整以满足我的需求,也更容易集成。
【讨论】:
【参考方案2】:iTransformers DDOS servlet 过滤器是一个很好的 servlet 过滤器示例,它能够应用远程触发黑洞https://www.rfc-editor.org/rfc/rfc5635,这是保护自己免受 DDOS 攻击的唯一真正/良好且可扩展的方法。
【讨论】:
【参考方案3】:如果您使用的是 Spring,那么 Acegi security 就非常完整了。Here is a series of tutorial articles。 看起来你可以在不需要 Spring 的情况下运行它,See here。
【讨论】:
以上是关于用于防止滥用的 Servlet 过滤器? (DoS、垃圾邮件等)的主要内容,如果未能解决你的问题,请参考以下文章