Web安全之业务安全：资源滥用攻击（Resource Exhaustion Attack）原理、场景与防护详解

一、问题描述

资源滥用攻击是一种常见的业务安全威胁，攻击者通过恶意消耗系统有限资源（如计算能力、内存、存储空间、网络带宽、数据库连接、API调用配额等），导致正常用户服务被拒绝或性能严重下降，本质上是一种应用层DDoS攻击或业务逻辑漏洞的滥用。它与传统网络层DDoS不同，更侧重于利用业务接口的合法请求进行资源消耗。

核心危害：

• 服务不可用（拒绝服务）
• 运营成本激增（如云资源计费暴增）
• 系统稳定性破坏

二、常见攻击场景与原理

场景1：API接口无限制的批量操作

攻击原理：

• 业务提供批量查询/导出接口（如/api/users?ids=1,2,3,...,10000），但未限制单次请求的条目数。
• 攻击者构造超大参数，导致数据库全表扫描、内存溢出。

示例请求：

GET /api/orders?user_ids=1,2,3,...,100000

数据库执行SELECT * FROM orders WHERE user_id IN (1,2,3,...,100000)，可能触发全表扫描或临时表过大。

场景2：计算密集型接口滥用

攻击原理：

• 业务提供复杂计算接口（如数据报表生成、图像处理、密码哈希等）。
• 攻击者高频调用，消耗服务器CPU资源。

示例：

POST /api/generate-report
Body: { "date_range": "2020-01-01 to 2025-12-31", "filters": [...] } // 触发复杂聚合查询

场景3：存储资源耗尽

攻击原理：

• 文件上传接口未限制文件大小、数量或类型。
• 攻击者上传大量大文件（如通过脚本循环上传），占满磁盘空间。

示例：

POST /api/upload
Content-Length: 10GB // 单个超大文件
或短时间内上传数百万个小文件。

场景4：连接池耗尽

攻击原理：

• 数据库连接、Redis连接等连接池大小有限。
• 攻击者发起大量慢查询请求，每个请求长时间占用连接，导致连接池被占满，后续请求等待超时。

示例：

-- 攻击者故意触发慢查询
SELECT * FROM large_table WHERE non_indexed_column = 'value' ORDER BY rand() LIMIT 100000;

场景5：缓存穿透与缓存击穿

攻击原理：

• 缓存穿透：查询不存在的数据（如随机ID），绕过缓存直接压垮数据库。
• 缓存击穿：热点key过期瞬间，大量请求同时直达数据库。

示例：

GET /api/product/999999999 // 不存在ID，每次查询都访问数据库

场景6：队列任务堆积

攻击原理：

• 异步任务队列（如RabbitMQ、Redis Queue）处理能力有限。
• 攻击者提交大量耗时任务（如发送邮件、图片处理），导致队列堆积，正常任务延迟。

三、防护策略与实施步骤

策略1：请求频率与数量限制（限流）

实施步骤：

1. 接口级限流：使用令牌桶/漏桶算法，限制单位时间内的请求数。

   • 工具：Nginx limit_req、网关限流（如Spring Cloud Gateway、API Gateway）、Redis + Lua脚本。
   • 示例：/api/generate-report 限制为每用户10次/分钟。

2. 参数数量限制：

   • 限制ids参数的最大条目数（如最多100个）。
   • 代码示例（Node.js）：

   const MAX_IDS = 100;
   const ids = req.query.ids.split(',');
   if (ids.length > MAX_IDS) {
       return res.status(400).json({ error: 'Too many IDs' });
   }
   

策略2：资源消耗监控与熔断

实施步骤：

1. 监控关键指标：

   • CPU使用率、内存占用、数据库连接数、接口响应时间。
   • 设置阈值告警（如CPU>80%持续5分钟）。

2. 熔断机制：

   • 当接口错误率或延迟超过阈值时，自动熔断一段时间（如10秒），快速失败返回默认响应。
   • 工具：Hystrix（Java）、resilience4j、自定义熔断器。

策略3：输入校验与业务逻辑加固

实施步骤：

1. 文件上传防护：

   • 限制文件大小（如单文件≤10MB）、类型（白名单校验）、频率（如每天最多100个）。
   • 使用异步处理，避免阻塞请求线程。

2. 查询优化与分页：

   • 强制分页，限制每页最大数量（如limit=100）。
   • 复杂查询接口添加超时控制（如数据库查询超时5秒）。

3. 缓存空对象：

   • 针对缓存穿透，将查询不到的key也缓存（值为null），设置较短TTL（如30秒）。

   SET product:999999999 "null" EX 30
   

策略4：异步化与弹性伸缩

实施步骤：

1. 耗时操作异步化：

   • 报表生成、文件处理等接口改为异步任务，立即返回task_id，客户端轮询结果。

   POST /api/reports → 202 Accepted { "task_id": "123" }
   GET /api/reports/123 → 200 OK { "status": "completed", "url": "..."
   

2. 自动伸缩：

   • 云服务（如AWS Auto Scaling、K8s HPA）基于CPU/内存指标自动扩容实例。
   • 注意：需结合成本控制，避免恶意触发导致费用激增。

策略5：纵深防御与WAF规则

实施步骤：

1. Web应用防火墙（WAF）：

   • 配置规则识别异常模式（如大量相同API调用、参数过大）。
   • 示例规则：检测Content-Length超过10MB的POST请求并拦截。

2. 分层防护：

   • 网络层：DDoS防护（云服务商提供）。
   • 应用层：限流、人机验证（如CAPTCHA）。
   • 业务层：用户行为分析（检测异常批量操作）。

四、实战演练：防御API批量查询攻击

假设有用户查询接口 /api/users?ids=1,2,3,...。

防护实现：

1. 入口校验（网关层）：

   # Nginx配置
   location /api/users {
       limit_req zone=api burst=10 nodelay; # 限流
       limit_req_status 429;
   }
   

2. 业务层校验（代码层）：

   MAX_IDS = 100
   ids = request.GET.get('ids', '').split(',')
   if len(ids) > MAX_IDS:
       return JsonResponse({'error': 'Exceed max ID count'}, status=400)
   
   # 分批次查询，避免IN子句过大
   chunk_size = 50
   results = []
   for i in range(0, len(ids), chunk_size):
       chunk = ids[i:i+chunk_size]
       results.extend(User.objects.filter(id__in=chunk))
   

3. 缓存层防护：

   # 使用缓存，避免重复查询相同ID集合
   cache_key = f"users:{hashlib.md5(','.join(sorted(ids)).encode()).hexdigest()}"
   data = cache.get(cache_key)
   if not data:
       data = query_database(ids)
       cache.set(cache_key, data, timeout=60) # 缓存60秒
   

4. 监控告警：

   • 监控该接口的响应时间P99、数据库查询次数。
   • 设置规则：若1分钟内同一IP调用此接口50次以上，触发告警并自动拉黑IP（临时）。

五、总结

资源滥用攻击的防护需要多层次、纵深防御：

1. 限流：控制请求频率与数量。
2. 校验：业务逻辑校验输入范围。
3. 异步：耗时操作解耦，避免阻塞。
4. 监控：实时监控资源使用，及时熔断。
5. 弹性：结合自动伸缩，但注意成本控制。

关键点：防护策略需在用户体验与安全之间平衡，例如合理设置限流阈值，避免误伤正常用户。同时，业务设计阶段就应考虑资源消耗，避免出现“无限制”接口。