在Netty服務(wù)被N次攻擊之后，終于抓到現(xiàn)行了！

前言

馬上就要過(guò)春節(jié)了，本想著完成手頭的任務(wù)就可以準(zhǔn)備過(guò)年了。沒(méi)想到Netty服務(wù)器又被攻擊了，當(dāng)收到服務(wù)器報(bào)警（CPU飆升報(bào)警）信息，就知道對(duì)方又下手了。

之前是交給下面的兄弟來(lái)解決，這次為了過(guò)個(gè)好年，決定親自動(dòng)手把這事給了結(jié)了。

故事前奏

Netty服務(wù)是公司比較邊緣的服務(wù)，只有一臺(tái)設(shè)備在使用，而且代碼是之前技術(shù)Leader（已離職）寫的，加上一直趕工期，所以就沒(méi)抽出時(shí)間去徹底解決這事。

當(dāng)初被攻擊沒(méi)排查代碼，看到遭到瘋狂請(qǐng)求、CPU跑滿、日志打滿，還以為是遭遇DDoS攻擊了。

臨時(shí)采取了幾個(gè)措施：

• 分離服務(wù)器，確保該服務(wù)遭到攻擊時(shí)不會(huì)拖垮其他服務(wù)；
• 換了一個(gè)IP和端口；
• 針對(duì)攻擊的IP添加黑名單；
• 在代碼層，發(fā)現(xiàn)非法請(qǐng)求強(qiáng)制關(guān)閉連接；
• 添加日志信息，追溯攻擊報(bào)文和源頭；
• 對(duì)攻擊服務(wù)的IP（上海阿里云的）進(jìn)行舉報(bào)；

但沒(méi)多久，黑客又找上門來(lái)了，十天半月來(lái)一次攻擊，好像知道服務(wù)IP和后臺(tái)代碼似的，陰魂不散。

這不，今天被逮到了，而且之前添加了日志打印，也拿到了攻擊的報(bào)文內(nèi)容，復(fù)現(xiàn)了攻擊操作。

//?攻擊者第一次嘗試的報(bào)文
8000002872FE1D130000000000000002000186A00001977C0000000000000000000000000000000000000000
//?攻擊者第二次嘗試的報(bào)文
8000002872FE1D130000000000000002000186A00001977C00000000000000000000000000000000

上述報(bào)文，第一次的報(bào)文觸發(fā)了攻擊，第二次的報(bào)文沒(méi)有影響（與正常業(yè)務(wù)報(bào)文格式無(wú)異）。

下面就帶大家分析分析攻擊的邏輯和代碼中存在的漏洞。

知識(shí)儲(chǔ)備

要了解攻擊的原理，我們需要有一定的Netty技術(shù)知識(shí)。關(guān)于Netty如何實(shí)現(xiàn)客戶端和服務(wù)器端的代碼這里就不展開(kāi)了，可以看一下實(shí)現(xiàn)實(shí)例：https://github.com/secbr/netty-all/tree/main/netty-decoder

我們重點(diǎn)了解一下自定義解碼器和io.netty.buffer.ByteBuf。其中自定義解碼器用于對(duì)報(bào)文進(jìn)行解析，而報(bào)文內(nèi)容通過(guò)ByteBuf進(jìn)行緩存?zhèn)鬏敗?/span>

上面的攻擊報(bào)文格式表明，黑客已經(jīng)“猜到”我們是基于16進(jìn)制Btye格式進(jìn)行內(nèi)容傳輸?shù)模ê诳途谷灰仓溃?/span>

自定義解碼器

要自定義解碼器，繼承MessageToMessageDecoder類并實(shí)現(xiàn)decode方法即可，下面展示一下示例代碼：

public?class?MyDecoder?extends?MessageToMessageDecoder?{

????@Override
????protected?void?decode(ChannelHandlerContext?ctx,?ByteBuf?in,?List