tomcat http协议与ajp协议(8009端口)

最新推荐文章于 2025-05-28 16:25:09 发布
最新推荐文章于 2025-05-28 16:25:09 发布
阅读量5.1k 收藏
点赞数
分类专栏: web
本文介绍了AJP13协议的基础概念,包括其工作原理、状态管理及与Tomcat服务器的连接器配置等内容。该协议用于减少进程生成socket的开销,并通过保持持久性的TCP连接提高性能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。WEB服务器通过 TCP连接和SERVLET容器连接。为了减少进程生成 socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请 求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。

  一旦WEB服务器打开了一个到SERVLET容器的连接,连接处于下面的状态:

◆ 空闲

这个连接上没有处理的请求。

◆ 已分派

连接正在处理特定的请求。

  一旦一个连接被分配给一个特定的请求,在连接上发送的基本请求信息是高度压缩的。在这点,SERVLET容器大概准备开始处理请求,当它处理的时候,它能发回下面的信息给WEB服务器:

◆ SEND_HEADERS

发送一组头到浏览器。

◆ SEND_BODY_CHUNK

   发送一块主体数据到浏览器。

◆ GET_BODY_CHUNK

从请求获得下一个数据如果还没有全部传输完,如果请求内容的包长度非常大或者长度不确定,这是非常必要的。例如上载文件。注意这和HTTP的块传输没有关联。

◆ END_RESPONSE

结束请求处理循环。

 

Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。默认情况下,Tomcat在server.xml中配置了两种连接器:

  

  <!-- Define a non-SSL Coyote HTTP/1.1

  Connector on port 8080 -->

  <Connector port="8080"

  maxThreads="150"

  minSpareThreads="25"

  maxSpareThreads="75"

  enableLookups="false"

  redirectPort="8443"

  acceptCount="100"

  debug="0"

  connectionTimeout="20000"

  disableUploadTimeout="true" />

  

  <!-- Define a Coyote/JK2 AJP 1.3

  Connector on port 8009 -->

  <Connector port="8009"

  enableLookups="false"

  redirectPort="8443" debug="0"

  protocol="AJP/1.3" />  

  第一个连接器监听8080端口,负责建立HTTP连接。在通过浏览器访问Tomcat服务器的Web应用时,使用的就是这个连接器。  

  第二个连接器监听8009端口,负责和其他的HTTP服务器建立连接。在把Tomcat与其他HTTP服务器集成时,就需要用到这个连接器。

  Web客户访问Tomcat服务器上JSP组件的两种方式如图22-1所示。

WEB安全:Tomcat-Ajp协议漏洞分析
墨痕诉清风的博客
02-20 1万+
tomcat在接收ajp请求的时候调用org.apache.coyote.ajp.AjpProcessor来处理ajp消息,prepareRequest将ajp里面的内容取出来设置成request对象的Attribute属性。然后再通过控制ajp控制的上述三个属性来读取文件,通过操控上述三个属性从而可以读取到/WEB-INF下面的所有敏感文件,不限于class、xml、jar等文件。详见https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html。
Apache Tomcat AJP协议文件读取包含
「应无所住而生其心」
05-18 1174
永远也不要忘记能够笑的坚强,就算受伤,我也从不彷徨。
tomcat http协议ajp协议
lanmh的专栏
06-20 1142
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。WEB服务器通过 TCP连接和SERVLET容器连接。为了减少进程生成 socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这...
Tomcat- AJP协议文件读取/命令执行漏洞(幽灵猫复现)详细步骤
最新发布
2301_81864699的博客
05-28 1363
Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器.默认情况下,Apache Tomcat会开启AJP连接器,方便其他Web服务器通过AJP协议进行交互.但Apache Tomcat,导致攻击者可以通过发送恶意的AJP请求,可以读取或者包含下的任意文件,如果配合文件上传任意格式文件,将可能导致任意代码执行(RCE).该漏洞利用AJP服务端口实现攻击,高危攻击者可以读取 Tomcat所有 webapp目录下的任意文件。
tomcatajp8009端口用处
xy100xy100xy100的博客
03-01 8785
tomcat常用于提供servlet/jsp容器服务,简单方便、使用高效。但是tomcat处理静态文件资源的性能不足(应该是serviece部分),同时,如果用户直接tomcat进行http的连接获取静态资源(连接器connector部分),相对而言就更慢了(http协议基于文本,相对“基于二进制的协议”而言性能较低,后者例如ajp13协议)。 因此,如果以“使用tomcat提供servlet/jsp容器服务”为前提,又希望使其中的静态文件资源的请求性能好一点时,就要用到“tomcat中的ajp”...
Tomcat- AJP协议文件读取/命令执行漏洞(CVE-2020-1938 / CNVD-2020-10487)
好好睡觉
02-17 5377
tomcat漏洞、幽灵猫漏洞、apache反向代理tomcat
2-java安全——tomcat AJP协议文件包含分析[CVE-2020-1938]
网络安全
08-12 2011
漏洞描述: tomcat是Apache组织开发的中小型的JavaEE服务器,它实现了servlet,JSP等javaEE规范,可以提供web资源访问服务,tomcat主要提供了两种通信方式访问web资源:http协议AJP协议tomcat服务器默认会在8009端口开放了一个AJP服务,客户端(浏览器)通过tomcat8009端口建立AJP通信,可以访问服务器的web资源。但是tomcatAJP协议在设计上存在一些缺陷,攻击者通过这点可以构造恶意的请求进行文件包含操作,从而读取tomcat服务器
关于TomcatAJP端口禁用.docx
04-08
AJP端口默认设置8009,它允许远程服务器通过AJP协议Tomcat进行通信。这种通信方式虽然可以实现负载均衡和反向代理,但同时也可能导致以下安全隐患: 1. **中间人攻击(Man-in-the-Middle Attack)**:由于AJP...
ajp8009端口分析
u011623002的博客
03-01 5156
1,AJP是什么? 最近有一个ajp的文件包含漏洞CVE-2020-1938很火,因此就研究了一下tomcatajp服务,复现了该漏洞。首先我们来看一下ajp是什么? ajptomcat的一个转发协议,通过这个协议,我们可以在自己的客户端上远程访问另一头的tomcat服务器。例如,原本我们打开tomcat,在自己的浏览器输入localhost就可以访问tomcat,而配置ajp协议的服务器,...
【愚公系列】2023年05月 Web渗透测试之Tomcat AJP协议攻击
热门推荐
时光隧道
08-25 5万+
Tomcat AJP协议攻击是一种利用Tomcat应用服务器中的AJP(Apache JServ 协议协议漏洞或存在弱口令等安全问题的攻击方式。攻击者通过AJP协议访问Tomcat应用服务器的服务端口,从而获得未授权的对应用程序的访问权限。攻击者可以利用该漏洞实施远程代码执行攻击、敏感信息泄露等多种攻击手段。为有效遏制此类攻击,应当及时修复漏洞,并加强对应用程序的访问控制。
Apache/Tomcat ajp联动——httpd mod_proxy_ajp协议配置方法。
allway2的博客
08-09 2186
之后就是Apache HTTP Server设置httpd mod_proxy_ajp设置)、Apache Tomcat设置(server.xml ajp设置)等具体设置方法,以及如何体现Apache/Tomcat ajp联动设置我在讲解。连接Apache和Tomcat的方法包括使用http代理将Apache接收到的访问分配到Tomcat的8080端口的方法,以及使用ajp协议而不是http连接Apache和Tomcat的方法,我有。下面,我们就来看看Apache和Tomcat联动的具体设置方法。...
Tomcat架构解析之AJP
weixin_42146366的博客
08-05 3563
一、前言     除了HTTPTomcat还支持AJP协议,以便于Apache HTTP Server等Web服务器集成,这篇博客主要讲解AJP协议的基础知识以及其配置使用方式。 二、基础知识     为了满足负载均衡、静态资源优化、遗留系统集成(如集成PHP Web应用)等应用部署要求,我们习惯于在Servlet容...
Apache+Tomcat+AJP
lionzl的专栏
01-14 1243
Apache+Tomcat+AJP 介绍 大部分一开始接触WEB服务器的人可能和我一样对为什么有Apache又有Tomcat服务器感到奇怪(它们还都是Apache开发的呵呵),其实他们不是冗余的服务器,虽然他们都能对外提供WEB服务器,但总的来说还是各有侧重点。下面做个简单介绍。   1.       Apache是世界排名第一的Web服务器;在Apache基金会里其永远被第一支持
tomcat ajp协议安全限制绕过漏洞_Tomcat出现漏洞了,阿粉问你,线上版本更换了么?...
weixin_39630441的博客
11-25 321
hello~各位读者好,我是鸭血粉丝(大家可以称呼我为「阿粉」),在这个特殊的日子里,大家要注意安全,尽量不要出门,无聊的话,就像阿粉一样,把时间愉快的花在学习上吧。1.Tomcat漏洞介绍使用 Apache Tomcat 软件了 Java Servlet,JavaServer 页,Java 表达式语言和 Java 的 WebSocket 技术的一个开源实现。Java Servlet,J...
Tomcat HTTP协议AJP协议
堂前燕的博客
03-08 595
转载地址: https://blog.youkuaiyun.com/jeikerxiao/article/details/82745516
Apache + Tomcat + ajp 协议配置
qq_16453311的专栏
08-27 721
根据经验,ajp 大约可以提高 20% 的运行效率,但是如果你考虑到以后更换前端代理服务器的话,就不要使用 ajp 协议了,http 协议可能是最好的选择,因为更通用。前端 web 服务器使用 apache 的好处就不在赘述,这里重点讲一下如何使用 ajp 协议http 协议后端 tomcat 服务器通信的区别。ajp:使用二进制进行通信,拥有极高的效率,同时也会耗费更多的系统资源;http:使用超文本 tomcat 通信,效率略差,但是灵活性更高;
TomcatTomcat-Ajp漏洞测试修复
密西西凌的博客
03-12 3215
Tomcat漏洞说明 Tomcat默认开启AJP连接器,方便其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。 此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。 影响版本 Tomcat版本7 < 官网修复漏洞版本7.0.10...
tomcat ajp端口
02-26
### Tomcat AJP 端口配置 在 `server.xml` 文件中,AJP 连接器通常位于 `<Service>` 标签内。默认情况下,AJP 使用的是 8009 端口,并且其配置如下所示: ```xml <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> ``` 此配置项定义了一个监听 8009 端口AJP 连接器,它遵循 AJP/1.3 协议并指定了重定向至 HTTPS 流量的目标端口为 8443[^5]。 对于存在安全风险的情况,可以考虑关闭不必要的 AJP 端口以减少攻击面。具体操作是在 `server.xml` 中移除或注释掉上述提到的 AJP Connector 配置部分[^2]。 另外,在某些场景下为了提高安全性或者适应特定网络环境的要求,可能还需要调整一些额外的安全选项,比如设置允许连接的 IP 地址范围等。这可以通过增加 `address` 属性来实现,仅限指定地址访问;也可以通过设定 `secretRequired=true` 和提供共享密钥的方式增强认证机制[^4]。 #### 修改后的更安全的 AJP 配置实例 ```xml <Connector port="8009" protocol="AJP/1.3" secretRequired="true" secret="your_secret_key_here" address="127.0.0.1"/> ``` 以上配置不仅启用了秘密需求还设定了本地回环接口作为唯一合法接入途径,从而进一步加强了防护措施。 ### 常见问题及其解决方法 当遇到 AJP 相关的问题时,常见的几个方面包括但不限于: - **性能瓶颈**:如果发现应用响应速度变慢可能是由于不当配置引起的资源争用或是不合理的线程池大小造成的。此时应该检查 `maxThreads`, `minSpareThreads` 参数是否合理设置以及是否有足够的内存支持当前负载下的并发处理能力。 - **连接失败**:确认防火墙规则是否阻止了外部对该端口的访问尝试,同时也要确保目标机器上的 SELinux (如果有启用的话) 不会干扰到正常的服务运行状态。 - **版本兼容性**:不同版本之间可能存在 API 差异或者其他潜在的变化影响正常使用效果。因此建议始终参照官方文档选择最适合项目需求的具体发行版进行部署和维护工作[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值