Citrix ADC

HTTP-Denial-of-Service-Schutz

Warnung

HTTP Denial of Service Protection (HDOSP) ist ab Citrix ADC 12.0 Build 56.20 veraltet. Alternativ empfiehlt Citrix die Verwendung von AppQOE. Weitere Informationen finden Sie unter AppQOE.

Internet-Hacker können eine Website herunterfahren, indem sie eine Welle von GET-Anfragen oder andere HTTP-Anforderungen senden. HTTP Denial-of-Service (HTTP Dos) Protection bietet eine effektive Möglichkeit, solche Angriffe nicht an Ihre geschützten Webserver weiterzuleiten. Die HTTP-DoS-Funktion stellt außerdem sicher, dass eine Citrix ADC Appliance, die sich zwischen der Internet-Cloud und Ihren Webservern befindet, nicht durch einen HTTP-DoS-Angriff heruntergefahren wird.

Die meisten Angreifer im Internet verwenden Anwendungen, die Antworten verwerfen, um die Berechnungskosten zu senken und ihre Größe zu minimieren, um eine Erkennung zu vermeiden. Die Angreifer konzentrieren sich auf Geschwindigkeit und erarbeiten Möglichkeiten, Angriffspakete zu senden, Verbindungen herzustellen oder HTTP-Anfragen so schnell wie möglich zu senden.

Echte HTTP-Clients wie Internet Explorer, Firefox oder NetScape Browser können HTML Refresh Meta-Tags, Java-Skripte und Cookies verstehen. Im Standard-HTTP haben die Clients die meisten dieser Funktionen aktiviert. Die Dummy-Clients, die in DoS-Angriffen verwendet werden, können jedoch die Antwort vom Server nicht analysieren. Wenn böswillige Clients versuchen, Anforderungen intelligent zu analysieren und zu senden, wird es schwierig für sie, den Angriff aggressiv zu starten.

Wenn die Citrix ADC Appliance einen Angriff erkennt, reagiert sie auf einen Prozentsatz der eingehenden Anforderungen mit einem Java- oder HTML-Skript, das eine einfache Aktualisierung und ein Cookie enthält. (Sie konfigurieren diesen Prozentsatz, indem Sie den Parameter Client Detect Rate festlegen.) Echte Webbrowser und andere webbasierte Clientprogramme können diese Antwort analysieren und dann eine POST-Anforderung mit dem Cookie erneut senden. DoS-Clients löschen die Antwort der Citrix ADC Appliance, anstatt sie zu analysieren, und ihre Anforderungen werden daher ebenfalls gelöscht.

Selbst wenn ein legitimer Client korrekt auf die Aktualisierungsantwort der Citrix ADC Appliance reagiert, kann das Cookie in der POST-Anforderung des Clients unter folgenden Bedingungen ungültig werden:

  • Wenn die ursprüngliche Anforderung gestellt wurde, bevor die Citrix ADC Appliance den DoS-Angriff erkannt hat, aber die erneute Anforderung wurde gestellt, nachdem die Appliance angegriffen wurde.
  • Wenn die Denkzeit des Kunden vier Minuten überschreitet, danach wird das Cookie ungültig.

Beide Szenarien sind selten, aber nicht unmöglich. Darüber hinaus hat die HTTP-DoS-Schutzfunktion folgende Einschränkungen:

  • Bei einem Angriff werden alle POST-Anfragen gelöscht, und eine Fehlerseite mit einem Cookie wird gesendet.
  • Bei einem Angriff werden alle eingebetteten Objekte ohne Cookie gelöscht und eine Fehlerseite mit einem Cookie gesendet.

Die HTTP-DoS-Schutzfunktion kann sich auf andere Citrix ADC Funktionen auswirken. Die Verwendung des DoS-Schutzes für eine bestimmte Richtlinie zur Inhaltsumschaltung führt jedoch zu zusätzlichen Overhead, da das Richtlinienmodul die Richtlinie finden muss, die abgeglichen werden soll. Es gibt einige Overhead für SSL-Anfragen aufgrund der SSL-Entschlüsselung der verschlüsselten Daten. Da sich die meisten Angriffe jedoch nicht in einem sicheren Netzwerk befinden, ist der Angriff weniger aggressiv.

Wenn Sie die Prioritätswarteschlange implementiert haben, platziert eine Citrix ADC Appliance Anfragen ohne entsprechende Cookies in eine Warteschlange mit niedriger Priorität. Obwohl dies Overhead verursacht, schützt es Ihre Webserver vor falschen Clients. HTTP-DoS-Schutz hat in der Regel minimale Auswirkungen auf den Durchsatz, da das Test-JavaScript nur für einen kleinen Prozentsatz der Anforderungen gesendet wird. Die Latenz von Anforderungen wird erhöht, da der Client die Anforderung erneut ausstellen muss, nachdem er das JavaScript empfangen hat. Diese Anforderungen werden auch in die Warteschlange gestellt.

Um HTTP-DoS-Schutz zu implementieren, aktivieren Sie das Feature und definieren eine Richtlinie für die Anwendung dieses Features. Dann konfigurieren Sie Ihre Dienste mit den Einstellungen, die für HTTP-DoS erforderlich sind. Sie binden auch einen TCP-Monitor an jeden Dienst und binden Ihre Richtlinie an jeden Dienst, um ihn in Kraft zu setzen.

HTTP-Denial-of-Service-Schutz