JBoss AS 7.1.1应用程序检测“慢HTTP拒绝服务攻击”

Question

我在JBoss7.1.1下部署了一个Java项目，在使用Acunetix漏洞扫描器检查了该项目之后，它警告说“缓慢的HTTP拒绝服务攻击”，这就是问题的截图。

在这里输入图像描述

我知道关于tomcat或jboss4修改server.xml可以工作，默认的connectionTimeout是20000，设置为8000之后问题就解决了。

<Connector port="8080" address="0.0.0.0"    
  maxThreads="250" maxHttpHeaderSize="8192"
  emptySessionPath="true" protocol="HTTP/1.1"
  enableLookups="false" redirectPort="8443" acceptCount="100"
  connectionTimeout="8000" disableUploadTimeout="true" />

因此，为了降低connectionTImeout of Jboss7，我对standalone.xml做了如下修改

<system-properties>
    <property name="org.apache.coyote.http11.DEFAULT_CONNECTION_TIMEOUT" value="2000"/>
    <property name="org.apache.coyote.http11.DEFAULT_KEEP_ALIVE_TIMEOUT" value="1000"/>
</system-properties>

但是它不起作用，“慢HTTP拒绝服务攻击”的问题仍然存在。

谢谢和问候。

森林

Answer 1

这进一步证明了JBoss用于在WildFly之前免费向公众“发布”其应用服务器的alpha版本，这是上一次JBoss 7.1.1可下载二进制版本中缺少的特性，它是在7.1.2中添加的，只有通过商业JBoss构建才能获得。

基本上有三种方法可以避免应用服务器的这种过时的alpha构建。

1. 购买EAP许可证，这样您就可以获得应用服务器的更新二进制发行版并提供支持。
2. 从源代码中自己编译最新版本，如下文所述：http://blog.kaltepoth.de/posts/2013/02/12/building-jboss-as7.html 源可以在这里下载：https://github.com/jbossas/jboss-as/releases
3. 升级到WildFly，把过去抛在脑后

我们非常建议只使用WildFly；它与Jboss 7.x相同，具有相同的配置特性和相同的API规范实现集(Hibernate/RestEasy/Weld/等)，但经过适当的更新。