我在Jboss下部署了一个Java Web项目作为7.1.1,在我用Acunetix Web漏洞扫描器检查项目后,它警告说"缓慢的HTTP拒绝服务攻击",这是问题的截图。
输入图片描述
我知道tomcat或jboss4修改server.xml可以工作,默认的connectionTimeout是20000,设置为8000后问题解决了。
<Connector port="8080" address="0.0.0.0"
maxThreads="250" maxHttpHeaderSize="8192"
emptySessionPath="true" protocol="HTTP/1.1"
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="8000" disableUploadTimeout="true" />
所以为了减少jbosss7的connectionTImeout,我修改了standalone.xml,如下所示
<system-properties>
<property name="org.apache.coyote.http11.DEFAULT_CONNECTION_TIMEOUT" value="2000"/>
<property name="org.apache.coyote.http11.DEFAULT_KEEP_ALIVE_TIMEOUT" value="1000"/>
</system-properties>
但不工作,问题"缓慢的HTTP拒绝服务攻击"仍然存在。
谢谢,问候。
森林
这进一步证明了JBoss过去常常"发布";在WildFly之前,他们的应用服务器的alpha版本向公众免费开放,这是JBoss 7.1.1最后一个可下载的二进制版本中缺少的功能,并且在7.1.2中添加,只能通过商业EAP构建获得。
基本上有三种方法可以避免被这种过时的应用服务器alpha版本所困扰。
-
购买EAP许可证,以便您可以获得更新的应用服务器二进制发行版和支持
-
根据源代码编译最新版本:http://blog.kaltepoth.de/posts/2013/02/12/building-jboss-as7.html
源代码可在此下载:https://github.com/jbossas/jboss-as/releases
-
升级到WildFly,把过去抛在脑后
强烈建议去WildFly;它是与Jboss 7相同的基本应用服务器。x具有相同的配置特征和相同的API规范实现集(Hibernate/RestEasy/Weld/等),但适当更新。