最近扫描出一个安全漏洞, SlowHttp 慢速攻击的,需要修改 Tomcat 的配置,也正好关于 Tomcat 的参数调优,正好记录一下。
漏洞信息
下篇再仔细说一下这个漏洞,漏洞有两个解决方法, 1 是通过 Nginx 2 是 Tomcat 设置超时时间
看了下项目好像没有 Nginx,所以还是设置超时时间吧。
配置 Spring Boot 内置 Tomcat 参数的时候,需要区分 Spring Boot 的 版本,刚开始的时候我用的是 2.0 一下的方法,发现提示 EmbeddedServletContainerCustomizer 不存在,后来查询才发现,2.0 往上的版本写法不一样了。
1.x 版本通过实现org.springframework.boot.context.embedded.EmbeddedServletContainerCustomizer的customize方法来实现自定义配置。
2.x 版本使用WebServerFactoryCustomizer接口替换EmbeddedServletContainerCustomizer组件完成对嵌入式Servlet容器的配置。
解决的话看下自己对于的版本来进行配置。
解决
Spring Boot 1.x 版本
代码语言:javascript复制
import org.apache.catalina.connector.Connector;
import org.apache.coyote.http11.Http11NioProtocol;
import org.springframework.boot.context.embedded.EmbeddedServletContainerFactory;
import org.springframework.boot.context.embedded.tomcat.TomcatConnectorCustomizer;
import org.springframework.boot.context.embedded.tomcat.TomcatEmbeddedServletContainerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
/**
* @Author: lixj
* @Date: 2020/6/8 12:02
*/
@Configuration
public class WebServerConfiguration {
@Bean
public EmbeddedServletContainerFactory createEmbeddedServletContainerFactory() {
TomcatEmbeddedServletContainerFactory tomcatFactory = new TomcatEmbeddedServletContainerFactory();
tomcatFactory.setPort(8082);
tomcatFactory.addConnectorCustomizers(new MyTomcatConnectorCustomizer());
return tomcatFactory;
}
class MyTomcatConnectorCustomizer implements TomcatConnectorCustomizer {
public void customize(Connector connector) {
Http11NioProtocol protocol = (Http11NioProtocol) connector.getProtocolHandler();
//设置最大连接数
protocol.setMaxConnections(2000);
//设置最大线程数
protocol.setMaxThreads(2000);
protocol.setConnectionTimeout(30000);
}
}
}
Spring Boot 2.x 版本
代码语言:javascript复制
import org.apache.catalina.connector.Connector;
import org.apache.coyote.http11.Http11NioProtocol;
import org.springframework.boot.SpringBootConfiguration;
import org.springframework.boot.web.embedded.tomcat.TomcatConnectorCustomizer;
import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.boot.web.servlet.server.ConfigurableServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import java.nio.charset.Charset;
/**
* Spring Boot 2.0内置Tomcat参数调整
* SlowHttp http慢速攻击防护
* @Author: lixj
* @Date: 2020/6/8 14:09
*/
@SpringBootConfiguration
public class WebServerConfiguration {
@Bean
public ConfigurableServletWebServerFactory webServerFactory() {
TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
factory.setPort(8888);
factory.setUriEncoding(Charset.forName("utf-8"));//编码
factory.addConnectorCustomizers(new MyTomcatConnectorCustomizer());
return factory;
}
class MyTomcatConnectorCustomizer implements TomcatConnectorCustomizer {
@Override
public void customize(Connector connector) {
Http11NioProtocol handler = (Http11NioProtocol)connector.getProtocolHandler();
handler.setAcceptCount(1000);// 排队数
handler.setMaxConnections(1000);// 最大连接数
handler.setMaxThreads(500);// 线程池的最大线程数
handler.setMinSpareThreads(50);// 最小线程数
handler.setConnectionTimeout(20000);// 超时时间 20S
}
}
}
ps:修改20秒后漏洞还在,把超时时间改为8秒了,重新扫描后漏洞没有了。
Copyright: 采用 知识共享署名4.0 国际许可协议进行许可 Links: https://lixj.fun/archives/springboot内置tomcat参数调优
