Citrix ADC

XML-Denial-of-Service-Prüfung

Die XML Denial-of-Service-Prüfung (XML DoS oder XDOs) untersucht eingehende XML-Anfragen, um festzustellen, ob sie mit den Merkmalen eines Denial-of-Service (DoS) -Angriffs übereinstimmen. Wenn es eine Übereinstimmung gibt, blockiert diese Anfragen. Der Zweck der XML-DoS-Prüfung besteht darin, zu verhindern, dass ein Angreifer XML-Anfragen verwendet, um einen Denial-of-Service-Angriff auf Ihren Webserver oder Ihre Website zu starten.

Wenn Sie den Assistenten oder die GUI verwenden, können Sie im Dialogfeld Denial-of-Service-Prüfung ändern auf der Registerkarte Allgemein die Aktionen Blockieren, Protokollieren, Statistiken und Lernen aktivieren oder deaktivieren:

Wenn Sie die Befehlszeilenschnittstelle verwenden, können Sie den folgenden Befehl eingeben, um die XML-Denial-of-Service-Prüfung zu konfigurieren:

  • set appfw profile <name> -xmlDoSAction [block] [log] [learn] [stats] [none]

Um einzelne XML-Denial-of-Service-Regeln zu konfigurieren, müssen Sie die GUI verwenden. Wählen Sie auf der Registerkarte Prüfungen des Dialogfelds Denial-of-Service-Überprüfung ändern eine Regel aus, und klicken Sie auf Öffnen, um das Dialogfeld Denial-of-Service ändern für diese Regel zu öffnen. Die einzelnen Dialogfelder unterscheiden sich für die verschiedenen Regeln, sind aber einfach. Einige erlauben es Ihnen nur, die Regel zu aktivieren oder zu deaktivieren, andere ermöglichen es Ihnen, eine Zahl zu ändern, indem Sie einen neuen Wert in ein Textfeld eingeben.

Hinweis:

Das erwartete Verhalten der Learning Engine für Denial-of-Service-Angriffe basiert auf der konfigurierten Aktion. Wenn die Aktion als “Blockieren” festgelegt ist, lernt die Engine den konfigurierten Bind-Wert +1 und die XML-Analyse stoppt bei einer Verletzung. Wenn die konfigurierte Aktion nicht als “Block” festgelegt ist, lernt die Engine den tatsächlichen Wert für die Länge des eingehenden Verstoßes.

Die einzelnen XML-Denial-of-Service-Regeln lauten:

  • Maximale Elementtiefe. Beschränken Sie die maximale Anzahl verschachtelter Ebenen in jedem einzelnen Element auf 256. Wenn diese Regel aktiviert ist und die Web App Firewall eine XML-Anforderung mit einem Element erkennt, das mehr als die maximale Anzahl zulässiger Ebenen aufweist, blockiert sie die Anforderung. Sie können die maximale Anzahl von Ebenen auf einen beliebigen Wert von 1 bis 65.535 ändern.

  • Maximale Länge des Elementnamens. Beschränken Sie die maximale Länge jedes Elementnamens auf 128 Zeichen. Dies schließt den Namen innerhalb des erweiterten Namespace ein, der den XML-Pfad und den Elementnamen im folgenden Format enthält:

     {http://prefix.example.com/path/}target_page.xml
    

Der Benutzer kann die maximale Namenslänge auf einen beliebigen Wert zwischen einem (1) Zeichen und 65.535 ändern.

  • Maximal # Elemente. Beschränken Sie die maximale Anzahl eines beliebigen Elementtyps pro XML-Dokument auf 65.535. Sie können die maximale Anzahl von Elementen auf einen beliebigen Wert zwischen 1 und 65.535 ändern.

  • Maximal # Element Kinder. Beschränken Sie die maximale Anzahl von untergeordneten Elementen (einschließlich anderer Elemente, Zeicheninformationen und Kommentare), die jedes einzelne Element auf 65.535 haben darf. Sie können die maximale Anzahl von untergeordneten Elementen auf einen beliebigen Wert zwischen 1 und 65.535 ändern.

  • Maximale Anzahl von Attributen Beschränken Sie die maximale Anzahl von Attributen, die jedes einzelne Element haben darf, auf 256. Sie können die maximale Anzahl von Attributen in einen beliebigen Wert zwischen 1 und 256 ändern.

  • Maximale Länge von Attributnamen. Beschränken Sie die maximale Länge jedes Attributnamens auf 128 Zeichen. Sie können die maximale Länge des Attributnamens auf einen beliebigen Wert zwischen 1 und 2.048 ändern.

  • Maximale Attributwert-Länge. Beschränken Sie die maximale Länge jedes Attributwerts auf 2048 Zeichen. Sie können die maximale Länge des Attributnamens auf einen beliebigen Wert zwischen 1 und 2.048 ändern.

  • Maximale Länge der Zeichendaten Beschränken Sie die maximale Zeichendatenlänge für jedes Element auf 65.535. Sie können die Länge auf einen beliebigen Wert zwischen 1 und 65.535 ändern.

  • Maximale Dateigröße Beschränken Sie die Größe jeder Datei auf 20 MB. Sie können die maximale Dateigröße auf einen beliebigen Wert ändern.

  • Minimale Dateigröße. Erfordert, dass jede Datei mindestens 9 Byte lang ist. Sie können die minimale Dateigröße auf jede positive Ganzzahl ändern, die verschiedene Bytes repräsentiert.

  • Maximale # Entity Expansions. Beschränken Sie die Anzahl der erlaubten Entitätenerweiterungen auf die angegebene Zahl. Standard: 1024.

  • Maximale Entity-Erweiterungstiefe Beschränken Sie die maximale Anzahl verschachtelter Entitätenerweiterungen auf höchstens die angegebene Zahl. Standard: 32.

  • Maximal # Namespaces. Beschränken Sie die Anzahl der Namespace-Deklarationen in einem XML-Dokument auf nicht mehr als die angegebene Zahl. Standard: 16.

  • Maximale Namespace-URI-Länge. Begrenzen Sie die URL-Länge jeder Namespace-Deklaration auf nicht mehr als die angegebene Anzahl von Zeichen. Standard: 256.

  • Anweisungen zur Blockverarbeitung. Sperren Sie alle speziellen Verarbeitungsanweisungen, die in der Anfrage enthalten sind. Diese Regel weist keine vom Benutzer veränderbaren Werte auf.

  • Blockieren Sie DTD. Blockieren Sie alle Dokumenttypdefinitionen (DTD), die in der Anforderung enthalten sind. Diese Regel weist keine vom Benutzer veränderbaren Werte auf.

  • Blockieren Sie externe Entitäten Blockieren Sie alle Verweise auf externe Entitäten in der Anforderung. Diese Regel weist keine vom Benutzer veränderbaren Werte auf.

  • SOAP-Array-Prüfung Aktivieren oder deaktivieren Sie die folgenden SOAP-Array-Prüfungen:

    • Maximale SOAP-Array-Größe. Die maximale Gesamtgröße aller SOAP-Arrays in einer XML-Anforderung, bevor die Verbindung blockiert wird. Sie können diesen Wert ändern. Standard: 20000000.
    • Maximaler SOAP-Array-Rang. Der maximale Rang oder die Dimensionen eines einzelnen SOAP-Arrays in einer XML-Anforderung, bevor die Verbindung blockiert wird. Sie können diesen Wert ändern. Standard: 16.
XML-Denial-of-Service-Prüfung