【问题标题】:protection agains DOS websocket with ip address使用 IP 地址防止 DDOS websocket
【发布时间】:2015-03-06 15:24:47
【问题描述】:

我想知道将用户的 ip 地址存储到 websocket 的握手中是否是保护我的 java ee 服务器免受 DDOS 攻击的好方法:

当服务器接收到异常数量的连接时,他切换到“安全”模式,如果给定的连接请求提供了服务器不知道的 IP 地址(存储在数据库中,第一次连接),那么我可以直接拒绝那个连接。

这有帮助吗? (我主要关心的是尽可能地保护我的 websocket 服务器。我已经研究了起源的东西,但到目前为止没有成功。)

感谢您的帮助!

【问题讨论】:

  • 该级别的保护可能为时已晚,使用简单的 IP 地址可能还不够。大多数 DOS 攻击是分布式攻击,攻击者使用受感染的系统从许多不同的 IP 地址发起攻击。云缓解提供商解决方案可能是防止 DDOS 攻击的最佳方式。 (恕我直言)

标签: java websocket server ddos


【解决方案1】:

针对 DDoS 的保护必须在网络级别(路由、平衡、交换等)。如果大量请求到达服务器,服务器将无法做任何事情。即使服务器在错误地快速调度它们,通道也已饱和,合法请求无法到达服务器,或者它们以非常糟糕的吞吐量到达。再说了,即使是不在 TCP/UDP 层,而只是在 IP 层的 ICMP 数据包也可以进行 DDoS,因此 WebSocket 服务器对此无能为力。

DoS 防护更多地与逻辑相关,而不是与基础架构相关。本质上,一种允许挂起您的服务器的攻击向量。一个实际的例子是,如果发送一个格式错误的 WebSocket 请求,那么在你的服务器中调度套接字的线程会死掉或卡住,从而阻止应用程序接受更多的连接。要保护您的服务器免受 DoS 攻击,请检查这些事项。

【讨论】:

  • 我明白了,非常感谢!完全没想到网络层面
  • 一个小补充:DoS 攻击可能发生在不同的级别。对于 TCP,请参阅答案。但它也可能发生在 WebSocket 级别:恶意客户端可能只是非常缓慢地进行 WebSocket 打开握手,通过网络传输字节。例如。您可能希望您的 WebSocket 服务器强制完成 WebSocket 打开握手的最长时间(然后是完成任何类型身份验证的最大值)。
  • @oberstet,WebSocket ddos​​ 有什么好的文章或链接吗??
猜你喜欢
  • 2014-08-24
  • 2011-04-04
  • 1970-01-01
  • 2021-12-07
  • 2018-03-21
  • 2012-03-05
  • 2010-11-04
  • 1970-01-01
  • 2020-10-27
相关资源
最近更新 更多