¿Es posible realizar un ataque de denegación de servicio en un servicio web asíncrono? ¿No se supone que el sistema operativo libera el hilo? No debería importar si alguien atacando un sistema lanzaría miles / millones de solicitudes por segundo en ese servidor.
¿Alguien tiene una opinión sobre esto?
Si, por asíncrono, te refieres a un servidor web como vertx / undertow que coloca solicitudes en un bus de eventos y las maneja desde un grupo de subprocesos, entonces el DoS debería ser posible, aunque puede requerir una carga mayor si realiza un ataque de inundación de L7 que cuando DoSing un servidor de subprocesos como Apache.
El sistema operativo no está creando ni bloqueando un solo subproceso por solicitud, sino que está sirviendo desde un grupo de trabajadores controlados por eventos, lo que significa que el agotamiento de la CPU es más difícil de lograr. Sin embargo, a nivel de red, todavía hay una gran cantidad de conexiones abiertas, y el sistema aún puede quedarse sin descriptores de archivos y no poder manejar nuevas conexiones.
De hecho, hice algunas pruebas simples para comparar Apache Tomcat v / s vertx y descubrí que en instancias de AWS EC2 configuradas de forma idéntica, vertx tiene una capacidad cuatro veces mayor que Apache, pero aún falla incluso con un solo generador de inundaciones L7 .
Lea otras preguntas en las etiquetas denial-of-service web-service