我有一个服务,要解析的域名来自不受信任的来源.最近,它因内存不足而崩溃.我缩小了可能的原因,并得出结论,它必须与最近的DNS请求流量有关.但是,该服务在解析域名后不存储任何内容,因此这似乎不太可能,但我尝试使用导致其解析域名的请求向我的服务发送垃圾邮件,以防万一.它确实死于此.然后,在得出代表我代码中没有存储内存的结论之后,我将代码缩小到了这个范围:
import java.math.*;
import java.net.*;
class A {
static {
try {
for (BigInteger i = BigInteger.ZERO; i==i; i = i.add(BigInteger.ONE))
Inet4Address.getByName("a"+i+".dog");
} catch (Exception e) {throw new RuntimeException(e);}
}
}
我在/etc/dnsmasq.conf中使用此行设置dnsmasq以使分辨率更快:
address=/dog/127.0.0.1
起初我跑这个时,它存活了几天,所以看起来这不是问题.但后来我用我用来启动服务的脚本运行它,这启用了安全管理器,它崩溃了:
$javac A.java && java -Xmx80m -Djava.security.manager A
Exception in thread "main" java.lang.OutOfMemoryError: Java heap space
Could not find the main class: A. Program will exit.
安全管理器使我的程序容易受到这种拒绝服务攻击.为什么?怎么解决?
$java -version
java version "1.6.0_27"
OpenJDK Runtime Environment (IcedTea6 1.12.6) (Gentoo build 1.6.0_27-b27)
OpenJDK 64-Bit Server VM (build 20.0-b12, mixed mode)
解决方法:
“InetAddress类有一个缓存来存储成功和不成功的主机名解析.
默认情况下,安装安全管理器时,为了防止DNS欺骗攻击,正主机名解析的结果将永久缓存.未安装安全管理器时,默认行为是缓存有限(依赖于实现)时间段的条目.主机名解析失败的结果会缓存很短的时间(10秒),以提高性能.“
source:IavAddress.java http://docs.oracle.com/javase/6/docs/api/java/net/InetAddress.html的javadoc
我认为这是缓存所有永远解决的主机名并最终导致outOfMemoryError.
您可以尝试设置Java安全属性控制TTL(生存时间),看看这是否有助于解决此问题