Citrix ADC

Verificación de denegación de servicio XML

La comprobación de denegación de servicio XML (XML DoS o XDoS) examina las solicitudes XML entrantes para determinar si coinciden con las funciones de un ataque de denegación de servicio (DoS) y bloquea las solicitudes que sí lo hacen. El objetivo de la comprobación DoS XML es evitar que un atacante utilice solicitudes XML para iniciar un ataque de denegación de servicio en su servidor web o sitio web.

Si utiliza el asistente o la GUI, en el cuadro de diálogo Modificar comprobación de denegación de servicio XML, en la ficha General puede habilitar o inhabilitar las acciones Bloquear, Registro, Estadísticas y Aprendizaje:

Si utiliza la interfaz de línea de comandos, puede introducir el siguiente comando para configurar la comprobación de denegación de servicio XML:

  • set appfw profile <name> -xmlDoSAction [**block**] [**log**] [**learn**] [**stats**] [**none**]

Para configurar reglas de denegación de servicio XML individuales, debe usar la GUI. En la ficha Comprobaciones del cuadro de diálogo Modificar comprobación de denegación de servicio XML, seleccione una regla y haga clic en Abrir para abrir el cuadro de diálogo Modificar denegación de servicio XML para esa regla. Los cuadros de diálogo individuales difieren según las diferentes reglas, pero son extremadamente simples. Algunos solo permiten habilitar o inhabilitar la regla; otros permiten modificar un número escribiendo un nuevo valor en un cuadro de texto.

Las reglas de denegación de servicio XML individuales son:

  • Profundidad máxima del elemento

    Restringir el número máximo de niveles anidados en cada elemento individual a 256. Si esta regla está habilitada y Web App Firewall detecta una solicitud XML con un elemento que tiene más del número máximo de niveles permitidos, bloquea la solicitud. Puede modificar el número máximo de niveles a cualquier valor de uno (1) a 65.535.

  • Longitud máxima del nombre del elemento

    Restringe la longitud máxima de cada nombre de elemento a 128 caracteres. Esto incluye el nombre dentro del espacio de nombres expandido, que incluye la ruta XML y el nombre del elemento con el siguiente formato:

     {http://prefix.example.com/path/}target_page.xml
    

    El usuario puede modificar la longitud máxima del nombre a cualquier valor entre un (1) carácter y 65.535.

  • Número máximo de elementos

    Restrinja el número máximo de cualquier tipo de elemento por documento XML a 65.535. Puede modificar el número máximo de elementos a cualquier valor entre uno (1) y 65.535.

  • Número máximo de elementos secundarios

    Restringir el número máximo de elementos secundarios (incluidos otros elementos, información de caracteres y comentarios) que cada elemento individual puede tener a 65.535. Puede modificar el número máximo de elementos secundarios a cualquier valor entre uno (1) y 65.535.

  • Número máximo de atributos

    Restringir el número máximo de atributos que cada elemento individual puede tener a 256. Puede modificar el número máximo de atributos a cualquier valor entre uno (1) y 256.

  • Longitud máxima del nombre de atributo

    Restringir la longitud máxima de cada nombre de atributo a 128 caracteres. Puede modificar la longitud máxima del nombre de atributo a cualquier valor entre uno (1) y 2.048.

  • Longitud máxima del valor del atributo

    Restringir la longitud máxima de cada valor de atributo a 2048 caracteres. Puede modificar la longitud máxima del nombre de atributo a cualquier valor entre uno (1) y 2.048.

  • Longitud máxima de datos de caracteres

    Restringir la longitud máxima de datos de caracteres para cada elemento a 65.535. Puede modificar la longitud a cualquier valor entre uno (1) y 65.535.

  • Tamaño máximo de archivo

    Restringir el tamaño de cada archivo a 20 MB. Puede modificar el tamaño máximo de archivo a cualquier valor.

  • Tamaño mínimo de archivo

    Requerir que cada archivo tenga al menos 9 bytes de longitud. Puede modificar el tamaño mínimo de archivo a cualquier entero positivo que represente un número de bytes.

  • Número máximo de expansiones de entidad

    Limite el número de expansiones de entidad permitidas al número especificado. Valor predeterminado: 1024.

  • Profundidad máxima de expansión de entidad

    Restringir el número máximo de expansiones de entidades anidadas a no más del número especificado. Valor predeterminado: 32.

  • Número máximo de espacios de nombres

    Limite el número de declaraciones de espacio de nombres en un documento XML a no más del número especificado. Valor predeterminado: 16.

  • Longitud máxima de URI del espacio de nombres

    Limite la longitud de URL de cada declaración de espacio de nombres a no más del número especificado de caracteres. Valor predeterminado: 256.

  • Instrucciones de procesamiento de bloques

    Bloquee las instrucciones especiales de procesamiento incluidas en la solicitud. Esta regla no tiene valores modificables por el usuario.

  • Bloque DTD

    Bloquee cualquier definición de tipo de documento (DTD) incluida con la solicitud. Esta regla no tiene valores modificables por el usuario.

  • Bloquear entidades externas

    Bloquear todas las referencias a entidades externas en la solicitud. Esta regla no tiene valores modificables por el usuario.

  • Comprobación de matriz SOAP

    Habilite o inhabilite las siguientes comprobaciones de matriz SOAP:

    • Tamaño máximo de matriz SOAP. El tamaño total máximo de todas las matrices SOAP en una solicitud XML antes de bloquear la conexión. Puede modificar este valor. Valor predeterminado: 20000000.
    • Rango máximo de matriz SOAP. Rango o dimensiones máximas de cualquier matriz SOAP única en una solicitud XML antes de bloquear la conexión. Puede modificar este valor. Valor predeterminado: 16.

Verificación de denegación de servicio XML