È possibile eseguire un attacco denial of service su un servizio Web asincrono? Il sistema operativo non dovrebbe rilasciare il thread? Non dovrebbe importare se qualcuno che attacca un sistema lanci migliaia / milioni di richieste al secondo su quel server.
Qualcuno ha un'opinione su questo?
Se, per via asincrona, intendi un server web come vertx / undertow che mette le richieste su un bus eventi e le gestisce da un pool di thread, allora DoS dovrebbe essere ancora possibile, anche se potrebbe richiedere un carico maggiore se si esegue un attacco di flooding L7 rispetto a quando si esegue un server threads come Apache.
Il sistema operativo in effetti non sta creando e bloccando un singolo thread per richiesta, ma sta servendo da un pool di worker basati sugli eventi, il che significa che l'esaurimento della CPU è più difficile da raggiungere. Tuttavia, a livello di rete, ci sono ancora un gran numero di connessioni aperte e il sistema può ancora esaurire i descrittori di file e non essere in grado di gestire nuove connessioni.
Effettivamente, ho fatto alcuni semplici test per confrontare il vertice di Apache Tomcat v / s e ho scoperto che su istanze di AWS EC2 identicamente configurate, vertx ha una capacità quattro volte superiore a Apache, ma si blocca anche da un singolo generatore di inondazioni L7 .
Leggi altre domande sui tag denial-of-service web-service