Dubbo 漏洞
无意中在网上看到了这样的一条新闻,说是我们 360 监测发现了 Dubbo 官方发布的危险漏洞通告,而且尴尬的是,世界上受影响最大的居然是中国,有图有真相
我感觉这也从侧面证明了一件事情,就是 为什么面试的时候这些神奇的技术会问的那么频繁了,这一次真的是找到真相了,那我们来看一下到底是怎么回事吧
0x01 漏洞背景
2020 年 06 月 23 日,360CERT 监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危。
Apache Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过 RPC 请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。
该漏洞的相关技术细节已公开。
对此,360CERT 建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT 对该漏洞的评定结果如下:
威胁等级:高危
影响面:广泛
0x03 漏洞详情
Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过 RPC 请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。
0x04 影响版本
Dubbo 2.7.0 – 2.7.6
Dubbo 2.6.0 – 2.6.7
Dubbo 2.5.x(官方不再维护)
0x05 修复建议
通用修补建议:
建议广大用户及时升级到 2.7.7 或更高版本
虽然不清楚,但是可能有的朋友还不太清楚什么是 Dubbo 或者说只是听说过 Dubbo,但是没有详细的了解过,耐心往下看,通过 35 道面试题,今天就给你讲清楚,Dubbo 没什么神秘的
1. 什么是 Dubbo?
Dubbo 是基于 Java 的高性能轻量级的 RPC 分布式服务框架,现已成为 Apache 基金会孵化项目。
官网:http://dubbo.apache.org/en-us/
2. 为什么要使用 Dubbo?
背景:
随着互联网的快速发展,Web 应用程序的规模不断扩大,最后我们发现传统的垂直体系结构(整体式)已无法解决。分布式服务体系结构和流计算体系结构势在必行,迫切需要一个治理系统来确保体系结构的有序发展。
- 开源免费
- 一些核心业务被提取并作为独立的服务提供服务,逐渐形成一个稳定的服务中心,这样前端应用程序就可以更好地响应变化多端的市场需求
- 分布式框架能承受更大规模的流量
- 内部基于 netty 性能高
3.Dubbo 提供了哪 3 个关键功能?
基于接口的远程调用
容错和负载均衡
自动服务注册和发现
4. 你知道哪些机构在用 Dubbo 吗?
5.Dubbo 服务的关键节点有哪些?
6. 说一下 Dubbo 服务注册流程?
- 服务容器负责启动,加载,运行服务提供者。
- 服务提供者在启动时,向注册中心注册自己提供的服务。
- 服务消费者在启动时,向注册中心订阅自己所需的服务。
- 注册中心返回服务提供者地址列表给消费者,如果有变更,注册中心将基于长连接推送变更数据给消费者。
- 服务消费者,从提供者地址列表中,基于软负载均衡算法,选一台提供者进行调用,如果调用失败,再选另一台调用。
- 服务消费者和提供者,在内存中累计调用次数和调用时间,定时每分钟发送一次统计数据到监控中心。
7. 能画一下服务注册流程图吗?
8.Dubbo 架构的特点?
连通性、健壮性、伸缩性、以及向未来架构的升级性。
9. 对 jdk 的最小版本需求?
jdk1.6+
10. 注册中心的选择?
一般来说选中 Zookeeper 更稳定更合适。
除了 Zookeeper 还有 Redis 注册中心、Multicast 注册中心、Simple 注册中心。
11.Dubbo 的核心配置?用途?
12. 配置优先级规则?
优先级从高到低:
- JVM - D 参数,当你部署或者启动应用时,它可以轻易地重写配置,比如,改变 dubbo 协议端口;
- XML, XML 中的当前配置会重写 dubbo.properties 中的;
- Properties,默认配置,仅仅作用于以上两者没有配置时。
13. 如何用代码方式绕过注册中心点对点直连?
…
ReferenceConfig<XxxService> reference = new ReferenceConfig<XxxService>(); // 此实例很重,封装了与注册中心的连接以及与提供者的连接,请自行缓存,否则可能造成内存和连接泄漏
// 如果点对点直连,可以用 reference.setUrl()指定目标地址,设置 url 后将绕过注册中心,// 其中,协议对应 provider.setProtocol()的值,端口对应 provider.setPort()的值,// 路径对应 service.setPath()的值,如果未设置 path,缺省 path 为接口名
reference.setUrl("dubbo://10.20.130.230:20880/com.xxx.XxxService");
…
14.Dubbo 配置来源有几种?分别是?
4 种
- JVM System Properties,- D 参数
- Externalized Configuration,外部化配置
- ServiceConfig、ReferenceConfig 等编程接口采集的配置
- 本地配置文件 dubbo.properties
15. 如何禁用某个服务的启动检查?
<dubbo:reference interface = "com.foo.BarService" check = "false" />
16.Dubbo 负载均衡策略?默认是?
- 随机负载平衡(默认)
- RoundRobin 负载平衡
- 最小活动负载平衡
- 一致的哈希负载平衡
17. 上线兼容老版本?
多版本号(version)
18. 开发测试环境,想绕过注册中心如何配置?
- xml
<dubbo:reference id="xxxService" interface="com.alibaba.xxx.XxxService" url="dubbo://localhost:20890" />
- -Djava -Dcom.alibaba.xxx.XxxService=dubbo://localhost:20890
- .propertiesjava -Ddubbo.resolve.file=xxx.properties
com.alibaba.xxx.XxxService=dubbo://localhost:20890
19. 集群容错几种方法?
20.Dubbo 有几种配置方式?
- Spring
- Java API
21.Dubbo 有哪些协议?推荐?
- dubbo://(推荐)
- rmi://
- hessian://
- http://
- webservice://
- thrift://
- memcached://
- redis://
- rest://
22.Dubbo 使用什么通信框架?
dubbo 使用 netty。
23.dubbo 协议默认端口号?http 协议默认端口?hessian?rmi?
- dubbo:20880
- http:80
- hessian:80
- rmi:80
24.Dubbo 默认序列化框架? 其他的你还知道?
- dubbo 协议缺省为 hessian2
- rmi 协议缺省为 java
- http 协议缺省为 json
25. 一个服务有多重实现时,如何处理?
可以用 group 分组,服务提供方和消费放都指定同一个 group。
26.Dubbo 服务调用默认是阻塞的?还有其他的?
默认是同步等待结果阻塞的,同时也支持异步调用。
Dubbo 是基于 NIO 的非阻塞实现并行调用,客户端不需要启动多线程即可完成并行调用多个远程服务,相对多线程开销较小,异步调用会返回一个 Future 对象。
27.Dubbo 服务追踪解决方案?
- Zipkin
- Pinpoint
- SkyWalking
28.Dubbo 不维护了吗?Dubbo 和 Dubbox 有什么区别?
现在进入了 Apache, 由 apache 维护。
Dubbox 是当当的扩展项目。
29.Dubbox 有什么新功能?
- 支持 REST 风格远程调用(HTTP + JSON/XML)
- 支持基于 Kryo 和 FST 的 Java 高效序列化实现
- 支持基于嵌入式 Tomcat 的 HTTP remoting 体系
- 升级 Spring
- 升级 ZooKeeper 客户端
30.io 线程池大小默认?
cpu 个数 + 1
31.dubbo:// 协议适合什么样的服务调用?
采用单一长链接和 NIO 异步通讯,适用于小数量大并发的服务调用,以及服务消费者机器数远大于服务提供者机器数的情况。
不适合传送大数据量的服务,比如传文件,传视频等,除非请求量很低。
32. 自动剔除服务什么原理?
zookeeper 临时节点,会话保持原理。
33. 从 2.0.5 版本开始,dubbo 支持通过 x 命令来进行服务治理?
telnet
34. 如何用命令查看服务列表?
telnet localhost 20880
进入命令行。然后执行 ls 相关命令:
- ls: 显示服务列表
- ls -l: 显示服务详细信息列表
- ls XxxService: 显示服务的方法列表
- ls -l XxxService: 显示服务的方法详细信息列表
35.Dubbo 框架设计是怎样的?
各层说明:
- 「config 配置层」:对外配置接口,以 ServiceConfig, ReferenceConfig 为中心,可以直接初始化配置类,也可以通过 spring 解析配置生成配置类
- 「proxy 服务代理层」:服务接口透明代理,生成服务的客户端 Stub 和服务器端 Skeleton, 以 ServiceProxy 为中心,扩展接口为 ProxyFactory
- 「registry 注册中心层」:封装服务地址的注册与发现,以服务 URL 为中心,扩展接口为 RegistryFactory, Registry, RegistryService
- 「cluster 路由层」:封装多个提供者的路由及负载均衡,并桥接注册中心,以 Invoker 为中心,扩展接口为 Cluster, Directory, Router, LoadBalance
- 「monitor 监控层」:RPC 调用次数和调用时间监控,以 Statistics 为中心,扩展接口为 MonitorFactory, Monitor, MonitorService
- 「protocol 远程调用层」:封装 RPC 调用,以 Invocation, Result 为中心,扩展接口为 Protocol, Invoker, Exporter
- 「exchange 信息交换层」:封装请求响应模式,同步转异步,以 Request, Response 为中心,扩展接口为 Exchanger, ExchangeChannel, ExchangeClient, ExchangeServer
- 「transport 网络传输层」:抽象 mina 和 netty 为统一接口,以 Message 为中心,扩展接口为 Channel, Transporter, Client, Server, Codec
- 「serialize 数据序列化层」:可复用的一些工具,扩展接口为 Serialization, ObjectInput, ObjectOutput, ThreadPool
-
- *
怎么样,够不够,那肯定是不够啊,这怎么能够呢?对吧,不过没关系,继续,耐心点
先看这张图,基本涵盖了 Dubbo 的相关组件,也就是说,你要学 Dubbo,这些可能你都要准备好啊,有朋友会问,这是你画的?开玩笑!怎么可能是我画的啊,哈哈哈哈
需要这份学习资料的老铁,关注公众号:Java 架构师联盟后,添加小助手获取
以为这就完了,那不是我风格,Dubbo 面试指南在这里了,毕竟上面的 35 道题只是我从其中挑选出来的
关注公众号:Java 架构师联盟,每日更新技术好文