Protección de denegación de servicio HTTP

Advertencia

HTTP Denial of Service Protection (HDOSP) se ha retirado desde Citrix ADC 12.0 compilación 56.20 en adelante y, como alternativa, Citrix recomienda utilizar AppQoe. Para obtener más información, consulte AppQoE.

Los hackers de Internet pueden derribar un sitio enviando una oleada de solicitudes GET u otras solicitudes de nivel HTTP. La protección HTTP de denegación de servicio (HTTP Dos) proporciona una forma eficaz de evitar que dichos ataques se retransmitan a sus servidores web protegidos. La función HTTP DoS también garantiza que un dispositivo Citrix ADC ubicado entre la nube de Internet y sus servidores web no sea derribado por un ataque HTTP DoS.

La mayoría de los atacantes en Internet utilizan aplicaciones que descartan las respuestas para reducir los costes de cálculo y minimizar su tamaño para evitar la detección. Los atacantes se centran en la velocidad, ideando formas de enviar paquetes de ataque, establecer conexiones o enviar solicitudes HTTP lo más rápido posible.

Los clientes HTTP reales, como los exploradores Internet Explorer, Firefox o NetScape, pueden comprender las metaetiquetas HTML Refresh, los scripts Java y las cookies. En HTTP estándar, los clientes tienen la mayoría de estas funciones habilitadas. Sin embargo, los clientes ficticios utilizados en ataques DoS no pueden analizar la respuesta del servidor. Si los clientes malintencionados intentan analizar y enviar solicitudes de forma inteligente, es difícil para ellos lanzar el ataque de forma agresiva.

Cuando el dispositivo Citrix ADC detecta un ataque, responde a un porcentaje de solicitudes entrantes con un script Java o HTML que contiene una simple actualización y cookie. (Para configurar ese porcentaje, establezca el parámetro Client Detect Rate.) Los exploradores web reales y otros programas cliente basados en web pueden analizar esta respuesta y luego volver a enviar una solicitud POST con la cookie. Los clientes DoS descartan la respuesta del dispositivo Citrix ADC en lugar de analizarla y, por lo tanto, también se descartan sus solicitudes.

Incluso cuando un cliente legítimo responde correctamente a la respuesta de actualización del dispositivo Citrix ADC, la cookie de la solicitud POST del cliente puede convertirse en inválida en las siguientes condiciones:

  • Si la solicitud original se realizó antes de que el dispositivo Citrix ADC detectara el ataque DoS, pero la solicitud de reenvío se realizó después de que el dispositivo hubiera sido objeto de ataque.
  • Cuando el tiempo de reflexión del cliente supera los cuatro minutos, después de lo cual la cookie se vuelve inválida.

Ambos escenarios son raros, pero no imposibles. Además, la función de protección HTTP DoS tiene las siguientes limitaciones:

  • Bajo un ataque, se eliminan todas las solicitudes POST y se envía una página de error con una cookie.
  • Bajo un ataque, se eliminan todos los objetos incrustados sin una cookie y se envía una página de error con una cookie.

La función de protección HTTP DoS puede afectar a otras funciones de Citrix ADC. Sin embargo, el uso de la protección DoS para una directiva de conmutación de contenido determinada crea una sobrecarga adicional porque el motor de directivas debe encontrar la directiva que quiere coincidir. Hay algo de sobrecarga para las solicitudes SSL debido al descifrado SSL de los datos cifrados. Sin embargo, debido a que la mayoría de los ataques no están en una red segura, el ataque es menos agresivo.

Si ha implementado la cola de prioridad, mientras está bajo ataque, un dispositivo Citrix ADC coloca las solicitudes sin las cookies adecuadas en una cola de baja prioridad. Aunque esto crea sobrecarga, protege los servidores web de clientes falsos. La protección HTTP DoS normalmente tiene un efecto mínimo en el rendimiento, ya que el JavaScript de prueba se envía solo para un pequeño porcentaje de solicitudes. La latencia de las solicitudes aumenta, porque el cliente debe volver a emitir la solicitud después de recibir el JavaScript. Estas solicitudes también se ponen en cola

Para implementar la protección HTTP DoS, habilite la función y defina una directiva para aplicar esta función. A continuación, configure sus servicios con la configuración requerida para HTTP DoS. También vincula un monitor TCP a cada servicio y vincula su directiva a cada servicio para ponerlo en práctica.

Protección de denegación de servicio HTTP