Citrix ADC

XML-Denial-of-Service-Prüfung

Bei der XML-Denial-of-Service-Prüfung (XML DoS oder xDoS) werden eingehende XML-Anforderungen untersucht, um festzustellen, ob sie mit den Eigenschaften eines Denial-of-Service-Angriffs (DoS) übereinstimmen, und diese Anforderungen werden blockiert. Der Zweck der XML-DoS-Prüfung besteht darin, einen Angreifer daran zu hindern, XML-Anforderungen zu verwenden, um einen Denial-of-Service-Angriff auf Ihren Webserver oder Ihre Website zu starten.

Wenn Sie den Assistenten oder die GUI verwenden, können Sie im Dialogfeld XML-Denial-of-Service-Prüfung ändern auf der Registerkarte Allgemein die Aktionen Blockieren, Protokollieren, Statistiken und Lernen aktivieren oder deaktivieren:

Wenn Sie die Befehlszeilenschnittstelle verwenden, können Sie den folgenden Befehl eingeben, um die XML-Denial-of-Service-Prüfung zu konfigurieren:

  • set appfw profile <name> -xmlDoSAction [**block**] [**log**] [**learn**] [**stats**] [**none**]

Um einzelne XML-Denial-of-Service-Regeln zu konfigurieren, müssen Sie die GUI verwenden. Wählen Sie auf der Registerkarte Prüfungen des Dialogfelds XML-Denial-of-Service-Prüfung ändern eine Regel aus, und klicken Sie auf Öffnen, um das Dialogfeld XML-Denial-of-Service ändern für diese Regel zu öffnen. Die einzelnen Dialogfelder unterscheiden sich durch die verschiedenen Regeln, sind aber sehr einfach. Einige erlauben es Ihnen nur, die Regel zu aktivieren oder zu deaktivieren, andere ermöglichen es Ihnen, eine Zahl zu ändern, indem Sie einen neuen Wert in ein Textfeld eingeben.

Die einzelnen XML-Denial-of-Service-Regeln lauten:

  • Maximale Elementtiefe

    Beschränken Sie die maximale Anzahl verschachtelter Ebenen in jedem einzelnen Element auf 256. Wenn diese Regel aktiviert ist und die Web App Firewall eine XML-Anforderung mit einem Element erkennt, das mehr als die maximale Anzahl zulässiger Ebenen aufweist, blockiert sie die Anforderung. Sie können die maximale Anzahl von Ebenen auf einen beliebigen Wert von 1 bis 65.535 ändern.

  • Maximale Länge des Elementnamens

    Beschränken Sie die maximale Länge jedes Elementnamens auf 128 Zeichen. Dies schließt den Namen innerhalb des erweiterten Namespace ein, der den XML-Pfad und den Elementnamen im folgenden Format enthält:

     {http://prefix.example.com/path/}target_page.xml
    

    Der Benutzer kann die maximale Namenslänge auf einen beliebigen Wert zwischen einem (1) Zeichen und 65.535 ändern.

  • Maximale Anzahl Elemente

    Beschränken Sie die maximale Anzahl eines beliebigen Elementtyps pro XML-Dokument auf 65.535. Sie können die maximale Anzahl von Elementen auf einen beliebigen Wert zwischen 1 und 65.535 ändern.

  • Maximale Anzahl untergeordnete Elemente

    Beschränken Sie die maximale Anzahl von untergeordneten Elementen (einschließlich anderer Elemente, Zeicheninformationen und Kommentare), die jedes einzelne Element auf 65.535 haben darf. Sie können die maximale Anzahl von untergeordneten Elementen auf einen beliebigen Wert zwischen 1 und 65.535 ändern.

  • Maximale Anzahl Attribute

    Beschränken Sie die maximale Anzahl von Attributen, die jedes einzelne Element haben darf, auf 256. Sie können die maximale Anzahl von Attributen in einen beliebigen Wert zwischen 1 und 256 ändern.

  • Maximale Länge des Attributnamens

    Beschränken Sie die maximale Länge jedes Attributnamens auf 128 Zeichen. Sie können die maximale Länge des Attributnamens auf einen beliebigen Wert zwischen 1 und 2.048 ändern.

  • Maximale Länge des Attributwerts

    Beschränken Sie die maximale Länge jedes Attributwerts auf 2048 Zeichen. Sie können die maximale Länge des Attributnamens auf einen beliebigen Wert zwischen 1 und 2.048 ändern.

  • Maximale Zeichendatenlänge

    Beschränken Sie die maximale Zeichendatenlänge für jedes Element auf 65.535. Sie können die Länge auf einen beliebigen Wert zwischen 1 und 65.535 ändern.

  • Maximale Dateigröße

    Beschränken Sie die Größe jeder Datei auf 20 MB. Sie können die maximale Dateigröße auf einen beliebigen Wert ändern.

  • Minimale Dateigröße

    Jede Datei muss mindestens 9 Bytes lang sein. Sie können die minimale Dateigröße auf eine beliebige positive Ganzzahl ändern, die eine Anzahl von Bytes darstellt.

  • Maximale Anzahl Entitätserweiterungen

    Beschränken Sie die Anzahl der erlaubten Entitätenerweiterungen auf die angegebene Zahl. Standard: 1024.

  • Maximale Tiefe der Entitätserweiterung

    Beschränken Sie die maximale Anzahl verschachtelter Entitätenerweiterungen auf höchstens die angegebene Zahl. Standard: 32.

  • Maximale Anzahl Namespaces

    Beschränken Sie die Anzahl der Namespace-Deklarationen in einem XML-Dokument auf nicht mehr als die angegebene Zahl. Standard: 16.

  • Maximale Länge des Namespace-URI

    Begrenzen Sie die URL-Länge jeder Namespace-Deklaration auf nicht mehr als die angegebene Anzahl von Zeichen. Standard: 256.

  • Anweisungen zur Blockverarbeitung

    Sperren Sie alle speziellen Verarbeitungsanweisungen, die in der Anfrage enthalten sind. Diese Regel weist keine vom Benutzer veränderbaren Werte auf.

  • DTD blockieren

    Blockieren Sie alle Dokumenttypdefinitionen (DTD), die in der Anforderung enthalten sind. Diese Regel weist keine vom Benutzer veränderbaren Werte auf.

  • Externe Entitäten blockieren

    Blockieren Sie alle Verweise auf externe Entitäten in der Anforderung. Diese Regel weist keine vom Benutzer veränderbaren Werte auf.

  • SOAP-Array-Prüfung

    Aktivieren oder deaktivieren Sie die folgenden SOAP-Array-Prüfungen:

    • Maximale SOAP-Array-Größe. Die maximale Gesamtgröße aller SOAP-Arrays in einer XML-Anforderung, bevor die Verbindung blockiert wird. Sie können diesen Wert ändern. Standard: 20000000.
    • Maximaler SOAP-Array-Rang. Der maximale Rang oder die Dimensionen eines einzelnen SOAP-Arrays in einer XML-Anforderung, bevor die Verbindung blockiert wird. Sie können diesen Wert ändern. Standard: 16.

XML-Denial-of-Service-Prüfung