如何防止恶意使用我的套接字?

时间:2013-05-23 16:59:04

标签: javascript node.js websocket socket.io

我正在制作一个基于玩家能够邀请其他玩家参加聚会的网页,以及其他很长时间的网页。

我在你的派对中有你的聊天/用户的基本发送/接收/更新。唯一的问题是,阻止某人坐在那里打开开发者控制台并进行

socket.emit('updateUsers', 'Weiner');
socket.emit('updateUsers', 'Idiot');
socket.emit('updateUsers', 'Bad word');
socket.emit('updateUsers', 'Other stupid malicious really long spam the chat name');

我如何防止这种情况发生,以致他们不能做这些事情?

(Full JS Stack,Node.js) 谢谢!

5 个答案:

答案 0 :(得分:3)

我也面临这个问题,这是我的解决方案,就垃圾邮件发出去(恶意套接字使用)..

var spamData = new Object();
var spamCheckFunctions = ["updateUsers","moreEmits"]; // anti-spam will check these socket emits
var antiSpam = 3000; // anti spam check per milliseconds
var antiSpamRemove = 3; // -spam points per antiSpam check
var maxSpam = 9; // Max spam points before disconnect is thrown to the socket

io.sockets.on('connection', function (socket) {

    // Spam Check, this binds to all emits
    var emit = socket.emit;
    socket.emit = function() {
        data = Array.prototype.slice.call(arguments);
        if(spamCheckFunctions.contains(data[0])){
            addSpam(socket);
        };
        emit.apply(socket, arguments);
    };

    var $emit = socket.$emit;
    socket.$emit = function() {
        data = Array.prototype.slice.call(arguments);
        if(spamCheckFunctions.contains(data[0])){
            addSpam(socket);
        }
        $emit.apply(socket, arguments);
    };

});


function maxSpamCheck(socket){
    if(spamData[socket.username].spamScore>=maxSpam && !socket.spamViolated){
      socket.spamViolated = true;
      socket.disconnect();

   }
}
function checkSpam(){
    for(user in spamData){
        if(spamData[user].spamScore>=1) spamData[user].spamScore-=antiSpamRemove;
    }
    return;
}
setInterval(checkSpam,antiSpam);

function addSpam(socket){
    if(socket.spamViolated) return;
    spamData[socket.username].spamScore+=1;
    maxSpamCheck(socket);
}


// Then add this where your user is authenticated
function authenticate(socket){
    socket.username = username // here you define username
    socket.spamViolated = false;

    spamData[socket.username] = {
        spamScore: 0
    }
}

Array.prototype.contains = function(k) {
    for(var p in this)
        if(this[p] === k)
            return true;
    return false;
};

基本绑定到所有发出并检查发件名是否包含在spamCheckFunctions中,如果它是否会添加垃圾点,如果用户超过垃圾邮件分数(maxSpam);他将被断开连接。并且antiSpam定义的每毫秒将减去在antiSpamRemove定义的用户垃圾邮件分数

我确信有更清洁的解决方案,但这个对我来说非常好:)

只需确保验证/验证用户。

这是我对它们进行身份验证的方式(不使用nodejs作为网络服务器,而是使用django):

io.configure(function(){
    io.set('authorization', function(data, accept){
        if(data.headers.cookie){
            data.cookie = cookie_reader.parse(data.headers.cookie);
            return accept(null, true);
        }
        return accept('error', false);
    });
});

现在您可以访问socket.handshake.cookie['sessionid'](在我的情况下,这与django一起使用) 然后将socket.handshake.cookie['sessionid']与您的会话存储在网络服务器上的条目匹配

答案 1 :(得分:1)

总的来说,这是一个难题。你可以做两件事:

1)在客户端使用自我调用功能,即

(function(w) {
    // define your sockets here
    var socket = ...;
})(window);

显然它是在客户端,所以这不是很安全。但是有这样的墙也不错。

2)在服务器端跟踪发布频率。例如,如果某人在一秒钟内发布了5次,那么您可以认为它是垃圾邮件,您可以阻止该套接字。如果与身份验证和复杂注册相结合,则会特别有效(因此人们在创建新帐户时会遇到问题)。

答案 2 :(得分:0)

使用md5 / sha键,其行为类似于cookie。

为特定用户生成密钥并将其发送到客户端,并始终检查传入请求是否具有相同的密钥

它不会完全安全,因为黑客可以随时在源代码或localStorage中找到您的密钥,但试图通过模糊代码隐藏它

答案 3 :(得分:0)

防止垃圾邮件的一种方法是实现用户身份验证和/或数据包速率限制器。添加一个中间件函数,用于跟踪socketId和通过该套接字发送的数据包的数量。超过限制时,请断开插座。

您甚至可以添加一个额外的功能来跟踪该套接字的IP地址,如果IP地址过于频繁地断开连接,则可以禁止该IP。在连接事件上添加一个允许IP地址的检查。

答案 4 :(得分:0)

使用rate-limiter-flexible包来限制每秒的事件数。 IP限制是最简单的方法,但如果可能的话最好用userId限制。

const app = require('http').createServer();
const io = require('socket.io')(app);
const { RateLimiterMemory } = require('rate-limiter-flexible');

app.listen(3000);

const rateLimiter = new RateLimiterMemory(
  {
    points: 5, // 5 points
    duration: 1, // per second
  });

io.on('connection', (socket) => {
  socket.on('bcast', async (data) => {
    try {
      await rateLimiter.consume(socket.handshake.address); // consume 1 point per event from IP
      socket.emit('news', { 'data': data });
      socket.broadcast.emit('news', { 'data': data });
    } catch(rejRes) {
      // no available points to consume
      // emit error or warning message
      socket.emit('blocked', { 'retry-ms': rejRes.msBeforeNext });
    }
  });
});

official docs中阅读更多内容