Filtros de servlet para la prevención de abuso? (DoS, spam, etc.)

Question

Estoy buscando una biblioteca de filtros de servlets que me ayude a proteger nuestro servicio web contra el uso no autorizado y DDoS.

Tenemos "clientes autorizados" para nuestro servicio web, por lo que idealmente el filtro ayudaría a detectar clientes que no están autorizados o no se comportan de manera adecuada, o detectará a varias personas que usan la misma cuenta. También necesitamos una forma de evitar la duplicación de nuestros diversos servicios, ya que tenemos una política de cuenta abierta, que limita el número de conexiones simultáneas para un usuario, etc.

Hemos examinado el Tomcat LockOutFilter y tal pero esos son bastante primitivos y solo previenen contra un tipo de ataque.

Por supuesto, hay muchos componentes específicos de la aplicación de la solución, pero me preguntaba si alguien había escrito una solución general como punto de partida.

Answer 1

Si está utilizando Spring, entonces Acegi security es bastante completo.
Here is a series of tutorial articles.
Parece que es posible que pueda ejecutar esto sin necesidad de Spring en todas partes, See here.

Answer 2

Apache Shiro es una solución de seguridad interesante (se llamó jSecurity antes de unirse a Apache.org). Encuentro que su código fuente es mucho más fácil de entender y ajustar para mis necesidades, y también para integrarlo.

Answer 3

iTransformers DDOS servlet filtro es un buen ejemplo para un filtro de servlet capaz de aplicar de forma remota holing Black holing https://tools.ietf.org/html/rfc5635 que es la única manera real/buena y escalable para defenderse de un ataque DDOS.