雄猫和防洪

Question

我们将 Tomcat 7 用于我们的 Web 应用程序。我们提供基于 XML 的 API，以便我们的客户可以以机器对机器的方式与我们的服务器通信（无需 Web 浏览器）。请求由 servlet 处理。

我们需要防止用户连续发送过多的请求。我们提供的一些服务涉及轮询结果，用户可能会在没有任何暂停的情况下循环发出请求，每秒发出几十个请求。

我们如何保护自己不被无用的请求淹没？当来自同一 IP 的请求过多时，是否有一种简单的方法可以在 servlet 入口级别阻止请求？有没有内置的Tomcat来处理这个问题？

Answer 1

阿帕奇的mod_evasive 或mod_security 可以在这里满足您的需求。对于需要硬件保护的更复杂的严重攻击，您可以考虑使用 Cloudflare。

Answer 2

如果你想要一个纯 Java 的解决方案，Spring Security 有很多 Apache httpd 的 mod_security 的特性。

Answer 3

您可以自己编写代码。

从 Servlet API 出发，特别是 Filter 接口和 SerlvetRequest 接口的 getRemoteHost() 方法。

应该很容易编写一个过滤器实现，它存储来自每个主机的请求计数，并在超出限制时采取行动。

Answer 4

假设您在 tomcat 前使用 apache 反向代理（如果不是，则应该使用），请在 apache 层使用 mod_cband。