Evitando ataque de acesso negado (Denial-of-Service)

Um ataque de acesso negado é uma tentativa maliciosa de sobrecarregar o servidor com falsas requisições. Um tipo comum de ataque consiste em enviar uma imensa quantidade de informações via POST HTTP. O Weblogic Server oferece três atributos que ajudam a prevenir este tipo de ataque. Estes atributos não configurados através do console administrativo > servidores > virtual hosts. Os atributos, quando configurados no Virtual Host sobrepõem os atributos configurados nos servidores (JVM). Estes são os atributos:

• PostTimeoutSecs: Quantidade de tempo que o Weblogic Server espera entre as pacotes de dados in um POST HTTP. O valor padrão é 30.

• MaxPostTimeSecs: Tempo máximo que o Weblogic Server usa para receber dados de um POST. Se este valor de tempo for atingido será lançada uma exceção: PostTimeoutException, com uma mensagem semelhante a esta: “Post time exceeded MaxPostTimeSecs”. O valor padrão é 30.

• MaxPostSize: Número máximo de bytes, relativo aos dados, aceita por uma requisição de um POST. Se este valor for alcançado uma exceção será lançada: MaxPostSizeExceeded, com uma mensagem semelhante a esta: “POST size exceeded the parameter MaxPostSize” e uma requisição HTTP com código de erro 413 (Entidade de requisição muito grande - Request Entity Too Large) é enviado para o cliente (quem efetuou a chamada).

Se o cliente estiver em modo listening mode (aguardando uma resposta), ele irá receber a mensagem de erro, caso o cliente não esteja em listening mode, a conexão será encerrada.

O valor padrão é -1.

Além do nome Denial-of-Service, também é conhecido como large buffer attack: que é um tipo de ataque que ocorre quando máquinas com acesso e direitos de acessar uma determinada aplicação, disparam requisições massivas e com grandes quantidades de informação, comprometendo as aplicações, sobrecarregando os servidores e, em alguns casos, até fazendo com que deixem de responder.