Tomcat 安全漏洞 - 缓慢的HTTP拒绝服务攻击 / 启动了OPTIONS方法_tomcat 缓慢拒绝服务攻击

缓慢的HTTP拒绝服务攻击 slow_Http_DoS 

原理：通过并发连接池进行的慢速读攻击(基于TCP持久时间)等。慢速攻击基于HTTP协议，通过精心的设计和构造，这种特殊的请求包会造成服务器延时，而当服务器负载能力消耗过大即会导致拒绝服务

（由于apache漏洞引发的拒绝服务攻击，其原理是以极低的速度往服务器发送HTTP请求。apache等中间件默认会设置最大并发链接数，而这种攻击就是会持续保持连接，导致服务饱和不可用。）

解决方案：
1 设置Tomcat / server.xml文件    connectiontimeout 值，默认为20000ms，修改为8000ms(Tomcat 自身安全漏洞)

（如果还是不行，再改小一点）
2 设置AJAX的全局timeout时间（默认为30000ms） $.ajaxSetup({timeout:8000});

3  If possible, you should set the Secure flag for this cookie，set the HTTPOnly flag for this cookie解决方案：
1 (Tomcat 自身安全漏洞)设置设置Tomcat / web.xml文件:

<session-config>
        <session-timeout>30</session-timeout>
        <cookie-config>
           <secure>true</secure>
           <http-only>true</http-only>
        </cookie-config>
</session-config> 

2 在Login .jsp主页面加入：
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly")

 

启动了OPTIONS方法 

tomcat/conf/web.xml 修改如下：

（1）更新

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"

xmlns:xsi="i="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" 

version="2.4">

（2）新增

<security-constraint>

<web-resource-collection>

<url-pattern>/*</url-pattern>

<http-method>PUT</http-method>

<http-method>DELETE</http-method>

<http-method>HEAD</http-method>

<http-method>OPTIONS</http-method>

<http-method>TRACE</http-method>

</web-resource-collection>

<auth-constraint> </auth-constraint>

</security-constraint>

<login-config>

<auth-method>BASIC</auth-method>

</login-config>