起因

线上项目突然遭到大量的非法参数攻击，由于历史问题，之前的代码从未对请求参数进行校验。 导致大量请求落到了数据访问层，给应用服务器和数据库都带来了很大压力。 针对这个问题，只能对请求真正到Controller方法调用之前直接将非法参数请求拒绝掉，所以在Filter中对参数进行统一校验，非法参数直接返回400。 我的建议是不但要设置响应状态码设置为400，还应该明确调用HttpServletResponse.getWriter().close()，希望此举能在服务端主动断开连接，释放资源。 但是同事认为不必要明确调用HttpServletResponse.getWriter().close()，于是就有了这个验证实验。

实验

1.应用容器：tomcat 7.0.59

2.如何验证服务器是否真的断开连接：观察http响应消息头“Connection”值是否为“close”。

不明确close时httpresponse返回的消息头

HTTP/1.1 400 Bad Request
Server: Apache-Coyote/1.1
Content-Length: 21
Date: Tue, 05 Sep 2017 11:39:00 GMT
Connection: close

明确close时httpresponse返回的消息头

HTTP/1.1 400 Bad Request
Server: Apache-Coyote/1.1
Content-Length: 0
Date: Tue, 05 Sep 2017 11:39:25 GMT
Connection: close

结论

1.根据上述结果，如果根据http响应消息头“Connection”值是否为“close”来验证服务端是否会主动断开连接。 那么在servlet中是否明确调用“HttpServletResponse.getWriter().close()”结果都是一样的。 因为在org.apache.coyote.http11.AbstractHttp11Processor中会根据响应状态码判断返回消息头Connection值。

    private void prepareResponse() {
        ...
        // If we know that the request is bad this early, add the
        // Connection: close header.
        keepAlive = keepAlive && !statusDropsConnection(statusCode);
        if (!keepAlive) {
            // Avoid adding the close header twice
            if (!connectionClosePresent) {
                headers.addValue(Constants.CONNECTION).setString(
                        Constants.CLOSE);
            }
        } else if (!http11 && !getErrorState().isError()) {
            headers.addValue(Constants.CONNECTION).setString(Constants.KEEPALIVE);
        }
        ...
    }

    /**
    * Determine if we must drop the connection because of the HTTP status
    * code.  Use the same list of codes as Apache/httpd.
    */
    protected boolean statusDropsConnection(int status) {
    return status == 400 /* SC_BAD_REQUEST */ ||
            status == 408 /* SC_REQUEST_TIMEOUT */ ||
            status == 411 /* SC_LENGTH_REQUIRED */ ||
            status == 413 /* SC_REQUEST_ENTITY_TOO_LARGE */ ||
            status == 414 /* SC_REQUEST_URI_TOO_LONG */ ||
            status == 500 /* SC_INTERNAL_SERVER_ERROR */ ||
            status == 503 /* SC_SERVICE_UNAVAILABLE */ ||
            status == 501 /* SC_NOT_IMPLEMENTED */;
    }

也就是说，当响应状态码为400时，不论是否明确调用“HttpServletResponse.getWriter().close()”，都会在响应消息头中设置“Connection: close”。 那么，问题来了：HTTP的响应消息头“Connection”值为“close”时是否就意味着服务端会主动断开连接了呢？ 根据rfc2616的对于HTTP协议的定义（详见：https://www.ietf.org/rfc/rfc2616.txt）：

HTTP/1.1 defines the "close" connection option for the sender to
signal that the connection will be closed after completion of the
esponse. For example,

Connection: close

也就是说，一旦在服务端设置响应消息头“Connection”为“close”，就意味着在本次请求响应完成后，对应的连接应该会被关闭。 然而，这对于不同的Servlet容器实现来说，真的就会关闭连接吗？ 跟踪tomcat源码发现，即使明确调用close()方法也不是直接就关闭连接。

2.明确调用“HttpServletResponse.getWriter().close()”时tomcat又做了什么事情

    （1）org.apache.catalina.connector.CoyoteWriter
    @Override
    public void close() {

        // We don't close the PrintWriter - super() is not called,
        // so the stream can be reused. We close ob.
        try {
            ob.close();
        } catch (IOException ex ) {
            // Ignore
        }
        error = false;

    }

    （2）org.apache.catalina.connector.OutputBuffer
    /**
     * Close the output buffer. This tries to calculate the response size if
     * the response has not been committed yet.
     *
     * @throws IOException An underlying IOException occurred
     */
    @Override
    public void close()
        throws IOException {

        if (closed) {
            return;
        }
        if (suspended) {
            return;
        }

        // If there are chars, flush all of them to the byte buffer now as bytes are used to
        // calculate the content-length (if everything fits into the byte buffer, of course).
        if (cb.getLength() > 0) {
            cb.flushBuffer();
        }

        if ((!coyoteResponse.isCommitted()) && (coyoteResponse.getContentLengthLong() == -1) &&
                !coyoteResponse.getRequest().method().equals("HEAD")) {
            // If this didn't cause a commit of the response, the final content
            // length can be calculated. Only do this if this is not a HEAD
            // request since in that case no body should have been written and
            // setting a value of zero here will result in an explicit content
            // length of zero being set on the response.
            if (!coyoteResponse.isCommitted()) {
                coyoteResponse.setContentLength(bb.getLength());
            }
        }

        if (coyoteResponse.getStatus() ==
                HttpServletResponse.SC_SWITCHING_PROTOCOLS) {
            doFlush(true);
        } else {
            doFlush(false);
        }
        closed = true;

        // The request should have been completely read by the time the response
        // is closed. Further reads of the input a) are pointless and b) really
        // confuse AJP (bug 50189) so close the input buffer to prevent them.
        Request req = (Request) coyoteResponse.getRequest().getNote(
                CoyoteAdapter.ADAPTER_NOTES);
        req.inputBuffer.close();

        coyoteResponse.finish();

    }

    （3）org.apache.coyote.Response
    public void finish() {
        action(ActionCode.CLOSE, this);
    }

    public void action(ActionCode actionCode, Object param) {
        if (hook != null) {
            if( param==null ) 
                hook.action(actionCode, this);
            else
                hook.action(actionCode, param);
        }
    }

    （4）org.apache.coyote.http11.AbstractHttp11Processor
    /**
     * Send an action to the connector.
     *
     * @param actionCode Type of the action
     * @param param Action parameter
     */
    @Override
    @SuppressWarnings("deprecation") // Inbound/Outbound based upgrade mechanism
    public final void action(ActionCode actionCode, Object param) {

        switch (actionCode) {
        case CLOSE: {
            // End the processing of the current request
            try {
                getOutputBuffer().endRequest();
            } catch (IOException e) {
                setErrorState(ErrorState.CLOSE_NOW, e);
            }
            break;
        }
        ...
        }
    }

    （5）org.apache.coyote.http11.InternalNioOutputBuffer
    /**
     * End request.
     *
     * @throws IOException an underlying I/O error occurred
     */
    @Override
    public void endRequest() throws IOException {
        super.endRequest();
        flushBuffer();
    }

    /**
     * Callback to write data from the buffer.
     */
    private void flushBuffer() throws IOException {

        //prevent timeout for async,
        SelectionKey key = socket.getIOChannel().keyFor(socket.getPoller().getSelector());
        if (key != null) {
            NioEndpoint.KeyAttachment attach = (NioEndpoint.KeyAttachment) key.attachment();
            attach.access();
        }

        //write to the socket, if there is anything to write
        if (socket.getBufHandler().getWriteBuffer().position() > 0) {
            socket.getBufHandler().getWriteBuffer().flip();
            writeToSocket(socket.getBufHandler().getWriteBuffer(),true, false);
        }
    }

实际上，明确调用“HttpServletResponse.getWriter().close()”时只是确保将数据发送给客户端，并不会执行关闭连接。 因此，回到我一开始的疑问：是否需要在代码中明确调用close()方法？在我遇到的这个校验非法参数的场景，其实是不必要的。但是，当HTTP状态码返回400时，Connection值一定会被设置为close。 那么，这个问题被引申一下：Http协议头中的“Connection”字段到底有和意义呢？这需要从HTTP协议说起。在Http1.0中是没有这个字段的，也就是说每一次HTTP请求都会建立新的TCP连接。而随着Web应用的发展，通过HTTP协议请求的资源越来越丰富，除了文本还可能存在图片等其他资源了，为了能够在一次TCP连接中能最快地获取到这些资源，在HTTP1.1中增加了“Connection”字段，取值为close或keep-alive。其作用在于告诉使用HTTP协议通信的2端在建立TCP连接并完成第一次HTTP数据响应之后不要直接断开对应的TCP连接，而是维持这个TCP连接，继续在这个连接上传输后续的HTTP数据，这样可以大大提高通信效率。当然，当“Connection”字段值为close时，说明双方不再需要通信了，希望断开TCP连接。 所以，对于使用HTTP协议的Web应用来讲，如果希望服务器端与客户端在本次HTTP协议通信之后断开连接，需要将“Connection”值设置为close；否则应该设置为keep-alive。

3.针对非法参数的DDoS攻击的请求，都应该在应用服务器前端进行拦截，杜绝请求直接到应用层。 如：在nginx端进行IP拦截，参考：https://zhangge.net/5096.html。