防止濫用Servlet過濾器？ （DoS，垃圾郵件等）

Question

我正在尋找一個servlet過濾器庫，可以幫助我們確保我們的Web服務免受未經授權的使用和DDoS攻擊。

我們爲我們的網絡服務提供「授權客戶」，因此理想情況下，過濾器有助於檢測未經授權或行爲不當的客戶，或者使用同一帳戶檢測多個人。此外，我們需要一種方法來防止拒絕我們的各種服務，因爲我們有一個開放帳戶策略 - 限制用戶同時連接的數量等。

我們已經看過了Tomcat LockOutFilter等但這些都相當原始，只能防止一種攻擊。

當然，該解決方案有許多特定於應用程序的組件，但我想知道是否有人撰寫了一個通用解決方案作爲起點。

Answer 1

如果您使用的是Spring，那麼Acegi security就相當完整。
Here is a series of tutorial articles。
看起來你可能可以在不需要Spring的情況下運行它，See here。

Answer 2

Apache Shiro是一個有趣的安全解決方案（它在加入Apache.org之前稱爲jSecurity）。我發現他們的源代碼更容易理解和調整我的需求，並將其整合。

Answer 3

iTransformers DDOS servlet過濾器是一個很好的例子，它可以應用遠程觸發黑洞https://tools.ietf.org/html/rfc5635，這是唯一真正的/好的和可擴展的方法來防禦DDOS攻擊。