JSR-356 WebSockets with Tomcat - 如何限制单个 IP 地址内的连接？

Question

我创建了一个 JSR-356 @ServerEndpoint，我想在其中限制来自单个 IP 地址的活动连接，以防止简单的 DDOS 攻击。

请注意，我正在搜索 Java 解决方案（JSR-356、Tomcat 或 Servlet 3.0 规范）。

我已尝试自定义端点配置器，但即使在 HandshakeRequest 对象中，我也无法访问 IP 地址。

如何在没有 iptables 等外部软件的情况下限制单个 IP 地址的 JSR-356 连接数？

Answer 1

根据 Tomcat 开发者的说法，@mark-thomas 客户端 IP 不通过 JSR-356 公开，因此不可能使用纯 JSR-356 API-s 实现这样的功能。

您必须使用相当丑陋的 hack 来解决标准的限制。

需要做的事情归结为：

1. 在初始请求时（在 websocket 握手之前）为每个用户生成一个包含其 IP 的令牌
2. 将令牌沿链向下传递，直到到达端点实现

至少有两个 hacky 选项可以实现这一点。

使用 HttpSession

1. 使用ServletRequestListener 监听传入的 HTTP 请求
2. 在传入请求时调用 request.getSession() 以确保它具有会话并将客户端 IP 存储为会话属性。
3. 创建一个ServerEndpointConfig.Configurator，使用modifyHandshake 方法将客户端IP 从HandshakeRequest#getHttpSession 提升并作为用户属性附加到EndpointConfig。
4. 从EndpointConfig 用户属性中获取客户端 IP，将其存储在映射或其他任何内容中，并在每个 IP 的会话数超过阈值时触发清理逻辑。

您也可以使用@WebFilter 代替ServletRequestListener

请注意，此选项可能会消耗大量资源，除非您的应用程序已经使用会话，例如用于身份验证。

在 URL 中将 IP 作为加密令牌传递

1. 创建附加到非 websocket 入口点的 servlet 或过滤器。例如/mychat
2. 获取客户端 IP，使用随机盐和密钥对其进行加密以生成令牌。
3. 使用ServletRequest#getRequestDispatcher将请求转发到/mychat/TOKEN
4. 配置您的端点以使用路径参数，例如@ServerEndpoint("/mychat/{token}")
5. 从@PathParam 提取令牌并解密以获取客户端IP。将其存储在地图或其他任何内容中，如果每个 IP 的会话数超过阈值，则触发清理逻辑。

为了便于安装，您可能希望在应用程序启动时生成加密密钥。

请注意，即使您正在执行对客户端不可见的内部调度，您也需要对 IP 进行加密。没有什么可以阻止攻击者直接连接到/mychat/2.3.4.5，从而在未加密的情况下欺骗客户端 IP。

另见：

• apache tomcat 8 websocket origin and client address
• Find number of active sessions created from a given client IP
• Accessing HttpSession from HttpServletRequest in a Web Socket @ServerEndpoint
• https://tyrus.java.net/documentation/1.4/index/websocket-api.html
• http://docs.oracle.com/javaee/7/tutorial/doc/websocket010.htm#BABJAIGH

Answer 2

如果您使用的是符合 JSR-356 标准的 Tyrus， 那么你可以从 Session 实例中获取 IP 地址，但这是一种非标准方法。

See here.

Answer 3

socket对象隐藏在WsSession中，所以可以使用反射来获取ip地址。该方法的执行时间约为 1ms。这个解决方案并不完美，但很有用。

public static InetSocketAddress getRemoteAddress(WsSession session) {
    if(session == null){
        return null;
    }

    Async async = session.getAsyncRemote();
    InetSocketAddress addr = (InetSocketAddress) getFieldInstance(async, 
            "base#sos#socketWrapper#socket#sc#remoteAddress");

    return addr;
}

private static Object getFieldInstance(Object obj, String fieldPath) {
    String fields[] = fieldPath.split("#");
    for(String field : fields) {
        obj = getField(obj, obj.getClass(), field);
        if(obj == null) {
            return null;
        }
    }

    return obj;
}

private static Object getField(Object obj, Class<?> clazz, String fieldName) {
    for(;clazz != Object.class; clazz = clazz.getSuperclass()) {
        try {
            Field field;
            field = clazz.getDeclaredField(fieldName);
            field.setAccessible(true);
            return field.get(obj);
        } catch (Exception e) {
        }            
    }

    return null;
}

并且 pom 配置是

<dependency>
  <groupId>javax.websocket</groupId>
  <artifactId>javax.websocket-all</artifactId>
  <version>1.1</version>
  <type>pom</type>
  <scope>provided</scope>
</dependency>
<dependency>
  <groupId>org.apache.tomcat</groupId>
  <artifactId>tomcat-websocket</artifactId>
  <version>8.0.26</version>
  <scope>provided</scope>
</dependency>

Answer 4

如果使用带有Undertow Websocket引擎的Springboot，请尝试以下方式获取IP。

 @OnOpen
    public void onOpen(Session session) {
        UndertowSession us = (UndertowSession) session;
        String ip = us.getWebSocketChannel().getSourceAddress().getHostString();