Ajuste de la detección del cliente/tasa de respuesta del desafío JavaScript

Después de habilitar y configurar la protección HTTP DoS, si hay más del número máximo especificado de clientes esperando en la cola de sobretensiones Citrix ADC para el servicio HTTP DoS, se activa la función de protección HTTP DoS. La tasa predeterminada de respuestas JavaScript desafiadas enviadas al cliente es el uno por ciento de la tasa de respuesta del servidor. Sin embargo, la tasa de respuesta predeterminada es inadecuada en muchos escenarios de ataque reales y puede ser necesario ajustar.

Por ejemplo, suponga que el servidor web es capaz de un máximo de 500 respuestas/seg, pero recibe 10.000 Gets/seg. Si el 1% de las respuestas del servidor se envían como desafíos de JavaScript, las respuestas se reducen a casi ninguna: 5 respuestas de JavaScript de cliente (500 *0.01), para 10000 solicitudes de cliente en espera. Solo alrededor del 0,05% de los clientes reales reciben respuestas de desafío de JavaScript. Sin embargo, si la tasa de respuesta de desafío de detección de clientes/JavaScript es muy alta (por ejemplo, 10%, generando 1000 respuestas de desafío de JavaScript por segundo), puede saturar los enlaces ascendentes o dañar los dispositivos de red ascendentes. Tenga cuidado al modificar el valor predeterminado de la tasa de detección de clientes.

Si la profundidad de la cola de sobretensiones de activación configurada es, por ejemplo, 200, y el tamaño de la cola de sobretensiones está alternando entre 199 y 200, Citrix ADC cambia entre los modos “ataque” y “sin ataque”, lo cual no es deseable. La función HTTP DoS incluye un mecanismo de ventana con un tamaño predeterminado de 20. Después de que el tamaño de la cola de sobretensiones alcance el valor de profundidad de cola especificado, activando el modo “ataque”, el tamaño de la cola de sobretensiones debe caer a 20 menos que la profundidad de cola especificada para que el dispositivo Citrix ADC entre en el modo “sin ataque”. En el ejemplo, el tamaño de la cola de sobretensiones debe ser inferior a 180 antes de que el dispositivo entre en modo “sin ataque”. Durante la configuración, debe especificar un valor superior a 20 para el parámetro QDepth al agregar una directiva DoS o establecer una directiva DoS.

La profundidad de la cola de sobretensión desencadenante debe configurarse sobre la base de observaciones anteriores de las funciones del tráfico. Para obtener más información sobre cómo configurar una configuración correcta, consulteDirectrices para la implementación de protección HTTP DoS.

Ajuste de la detección del cliente/tasa de respuesta del desafío JavaScript