对redis了解比价浅,有错误之处请批评指正。
场景:某服务查询余额功能,根据用户id查询余额,如果该用户在缓存中有余额,则直接返回缓存数据,如果没有,则去数据库查询后返回并放入缓存;
黑客采用ddos攻击对网站进行饱和攻击,用uuid生成用户账号进行查询,由于随机的uuid不是系统用户,也就在缓存中无数据,导致每次查询都是访问数据库,直接占用了所有数据库连接;uuid不断变化,无法进行固定拦截;如果将系统用户全部取出进行比对,这个思路,我能想到的就是hashmap了,但hashmap默认加载因子是0.75,加上其数据所占的长度,空间利用率并不高,又因为数据量较大,会有查找较慢的问题;
那有没有什么办法既占内存少,速度又快呢?有,bloom过滤器!
什么是Bloom Filter
参照:
概括来说,就是一个数组跟一组函数,数组的长度跟函数的多少都要跟误判率一起经过算法确认,然后:
1、先让符合条件的数据进行填充,每条数据会被映射到数组的多个不同位置,将这些位置的数字由0改为1;
2、多次重复后,该数组某些地方为1,某些地方为0;
3、对于需要过滤的数据,用mightContain方法进行判断,如果该数据所映射到数组上的所有点均为1,则通过验证,否则不通过。
PS:Bloom Filter可以手动设置误判率,误判率必须大于0;
-------------------------------------------------------------------
Bloom Filter的实现,伟大的Google已经为我们准备好了,guava18以上版本包含此过滤器。
<dependency> <groupId>com.google.guava</groupId> <artifactId>guava</artifactId> <version>19.0</version> </dependency>
Bloom Filter测试代码:
@Test public void bloomTest(){ final int num = 100000; //初始化一个存储string数据的bloom过滤器,初始化大小10w BloomFilter<String> bf = BloomFilter.create(Funnels.stringFunnel(Charsets.UTF_8),num,0.001); Set<String> sets = new HashSet<>(num); List<String> lists = new ArrayList<String>(num); //向3个容器初始化10w随机唯一字符串 for(int i=0;i<num;i++){ String uuid = UUID.randomUUID().toString(); bf.put(uuid); sets.add(uuid); lists.add(uuid); } int wrong = 0; int right = 0; for(int i=0;i<10000;i++){ String test = i%100 == 0? lists.get(i/100):UUID.randomUUID().toString(); if(bf.mightContain(test)){ if(sets.contains(test)){ right ++; }else{ wrong ++; } } } System.out.println("=============right================"+right); System.out.println("=============wrong================"+wrong); }
输出结果:
=============right================100
=============wrong================276
多运行几次,wrong的值大概在300左右变化,right一直为100。原因是对于的确在其中的数据,由于过滤器初始化的时候就采用的这些数据,所以对应的位置必定全部为1,不会误判;但对于新数据,不一定全部不是1,所以存在误判率;而误判率默认为3%,因此,1w条数据误判大概为300。我们调整误判率,代码改为:
BloomFilter<String> bf = BloomFilter.create(Funnels.stringFunnel(Charsets.UTF_8),num,0.001);
会发现wrong的数值在10上下波动,因为1w的千分之一正好是10。
-------------------------------------------------------------------
以下我们使用Bloom Filter拦截非法请求:
测试代码,模拟2000请求同时访问:
int num = 2000; //倒数计数器 CountDownLatch cdl = new CountDownLatch(num);
@Test public void testConcurrent() throws InterruptedException { System.out.println("执行开始啦"); long start = System.currentTimeMillis(); //真实数据 List<String> unames = dbService.getAllUsers(); for(int i=0;i<num;i++){ String username = null; if(i%50==0){ username = unames.get((int)(Math.random()*unames.size())); }else{ username = UUID.randomUUID().toString(); } Thread t = new MyThread(username); t.start(); cdl.countDown(); } Thread.sleep(10000); }
MyThread代码:
private class MyThread extends Thread{ private String name; public MyThread(String name){ this.name = name; } @Override public void run() { try { cdl.await(); } catch (InterruptedException e) { e.printStackTrace(); } dbService.getSumScore(name); } }
dbService.getSumScore(name)的代码如下:
//获取总成绩 public int getSumScore(String uname){ //不在用户列表,直接返回 if(!bloomFilter.mightContain(uname)){ System.out.println("================不在列表,直接返回======================="); return 0; } //可能在用户列表,进行正常数据查询 int sumscore = 0; ValueOperations<String, String> operations = redisTemplate.opsForValue(); String result = operations.get("uname"); if(result != null){//缓存已有数据 int order = count.incrementAndGet(); System.out.println(uname+"================获取数据来源:redis======================="+order); return Integer.valueOf(result); }else{//缓存无数据 Map m = jdbcTemplate.queryForMap("select sum(score) as sumscore from student where name=?",new Object[]{uname}); if(m != null){ int order = count.incrementAndGet(); System.out.println(uname+"================获取数据来源:database======================="+order); if(null!=(m.get("sumscore"))){ sumscore = Integer.valueOf(m.get("sumscore")+""); operations.set(uname,sumscore+"",1); } } return sumscore; } }
当然,在service中过滤器是需要初始化的,初始化代码如下:
@PostConstruct private void init(){ List<String> users = this.getAllUsers(); bloomFilter = BloomFilter.create(Funnels.stringFunnel(Charsets.UTF_8),users.size(),0.001); for(String str:users){ bloomFilter.put(str); } }
输出结果:
可以看到,大部分的请求都被拦截了。在生产系统中,如果将此功能提出,在访问我们的服务之前先预先对请求进行过滤,那么对于我们的某些接口便能提供很好的保护,有效降低系统被攻击所承受的压力。而且此方法对数据库跟缓存依赖非常小,不用担心对生产系统造成的破坏。