Citrix ADC

Tuning der Client-Erkennung/JavaScript-Challenger Response Rate

Wenn nach dem Aktivieren und Konfigurieren des HTTP-DoS-Schutzes mehr als die maximal angegebene Anzahl von Clients in der Citrix ADC Überspannungswarteschlange für den HTTP-DoS-Dienst wartet, wird die HTTP-DoS-Schutzfunktion ausgelöst. Die Standardrate der angeforderten JavaScript-Antworten, die an den Client gesendet werden, beträgt ein Prozent der Server-Antwortrate. Die Standard-Antwortrate ist jedoch in vielen realen Angriffsszenarien unzureichend und muss möglicherweise abgestimmt werden.

Angenommen, der Webserver kann maximal 500 Antworten/Sek., aber 10.000 Gets/Sek. empfängt. Wenn 1% der Serverantworten als JavaScript-Herausforderungen gesendet werden, werden die Antworten auf fast keine reduziert: 5 Client-Antworten (500 x 0,01), für 10000 wartende Clientanforderungen. Nur etwa 0,05% der realen Clients erhalten JavaScript-Challenge-Antworten. Wenn jedoch die Antwortrate für die Client-Erkennung/JavaScript-Herausforderung sehr hoch ist (z. B. 10%, wodurch 1000 Challenge-JavaScript-Antworten pro Sekunde generiert werden), kann es die Upstream-Links sättigen oder die Upstream-Netzwerkgeräte schädigen. Achten Sie darauf, wenn Sie den Standardwert für die Clienterkennungsrate ändern.

Wenn die konfigurierte Auslöser-Überspannungswarteschlangentiefe beispielsweise 200 beträgt und die Größe der Überspannungswarteschlange zwischen 199 und 200 umschaltet, schaltet der Citrix ADC zwischen den Modi “Angriff” und “Kein Angriff” um, was nicht wünschenswert ist. Die HTTP-DoS-Funktion enthält einen Fenstermechanismus mit einer Standardgröße von 20. Nachdem die Größe der Überspannungswarteschlange den angegebenen Wert der Warteschlangentiefe erreicht hat und den “Angriff” -Modus auslöst, muss die Größe der Überspannungswarteschlange auf 20 kleiner als die angegebene Warteschlangentiefe fallen, damit die Citrix ADC Appliance in den Modus “Kein Angriff” wechselt. In diesem Beispiel muss die Größe der Überspannungswarteschlange unter 180 liegen, bevor die Appliance in den Modus “Kein Angriff” wechselt. Während der Konfiguration müssen Sie einen Wert mehr als 20 für den QDepth-Parameter angeben, wenn Sie eine DoS-Richtlinie hinzufügen oder eine DoS-Richtlinie festlegen.

Die Tiefe der auslösenden Überspannungswarteschlange sollte auf der Grundlage früherer Beobachtungen der Verkehrseigenschaften konfiguriert werden. Weitere Hinweise zum Einrichten einer korrekten Konfiguration finden Sie unterRichtlinien für HTTP-DoS-Schutzbereitstellung.

Tuning der Client-Erkennung/JavaScript-Challenger Response Rate