Citrix ADC

Protection par déni de service HTTP

Avertissement

HTTP Denial of Service Protection (HDoSP) est obsolète à partir de Citrix ADC 12.0 build 56.20 et comme alternative, Citrix vous recommande d’utiliser AppQoE. Pour de plus amples informations, consultez AppQoE.

Les pirates Internet peuvent faire tomber un site en envoyant une vague de requêtes GET ou d’autres requêtes HTTP. La protection HTTP par déni de service (HTTP Dos) offre un moyen efficace d’empêcher que de telles attaques ne soient relayées vers vos serveurs Web protégés. La fonctionnalité DoS HTTP garantit également qu’une appliance Citrix ADC située entre le cloud Internet et vos serveurs Web n’est pas arrêtée par une attaque DoS HTTP.

La plupart des attaquants sur Internet utilisent des applications qui rejettent les réponses pour réduire les coûts de calcul et minimisent leur taille pour éviter la détection. Les attaquants se concentrent sur la vitesse, en concevant des moyens d’envoyer des paquets d’attaque, d’établir des connexions ou d’envoyer des requêtes HTTP aussi rapidement que possible.

Les clients HTTP réels tels que les navigateurs Internet Explorer, Firefox ou NetScape peuvent comprendre les méta-balises HTML Refresh, les scripts Java et les cookies. Dans HTTP standard, les clients ont la plupart de ces fonctionnalités activées. Toutefois, les clients factices utilisés dans les attaques DoS ne peuvent pas analyser la réponse du serveur. Si des clients malveillants tentent d’analyser et d’envoyer des demandes intelligemment, il devient difficile pour eux de lancer l’attaque de manière agressive.

Lorsque l’appliance Citrix ADC détecte une attaque, elle répond à un pourcentage de demandes entrantes avec un script Java ou HTML contenant une simple actualisation et un cookie. (Vous configurez ce pourcentage en définissant le paramètre Taux de détection du client.) Les navigateurs Web réels et d’autres programmes clients Web peuvent analyser cette réponse, puis renvoyer une requête POST avec le cookie. Les clients DoS suppriment la réponse de l’appliance Citrix ADC au lieu de l’analyser, et leurs requêtes sont donc également supprimées.

Même lorsqu’un client légitime répond correctement à la réponse d’actualisation de l’appliance Citrix ADC, le cookie dans la requête POST du client peut devenir non valide dans les conditions suivantes :

  • Si la demande d’origine a été effectuée avant que l’appliance Citrix ADC ne détecte l’attaque DoS, mais que la demande de réenvoi a été effectuée après l’attaque de l’appliance.
  • Lorsque le temps de réflexion du client dépasse quatre minutes, après quoi le cookie devient invalide.

Ces deux scénarios sont rares, mais pas impossibles. En outre, la fonction de protection HTTP DoS présente les limitations suivantes :

  • Sous une attaque, toutes les requêtes POST sont supprimées et une page d’erreur avec un cookie est envoyée.
  • Sous une attaque, tous les objets incorporés sans cookie sont supprimés et une page d’erreur contenant un cookie est envoyée.

La fonctionnalité de protection DoS HTTP peut affecter d’autres fonctionnalités de Citrix ADC. Toutefois, l’utilisation de la protection DoS pour une stratégie de changement de contenu spécifique crée des frais supplémentaires car le moteur de stratégie doit trouver la stratégie à associer. Il y a une surcharge pour les requêtes SSL en raison du décryptage SSL des données cryptées. Étant donné que la plupart des attaques ne sont pas sur un réseau sécurisé, l’attaque est moins agressive.

Si vous avez implémenté la mise en file d’attente prioritaire, alors qu’elle est attaquée, une appliance Citrix ADC place des requêtes sans cookies appropriés dans une file d’attente de faible priorité. Bien que cela crée des frais généraux, il protège vos serveurs Web contre les faux clients. La protection HTTP DoS a généralement un effet minime sur le débit, puisque le JavaScript de test est envoyé pour un faible pourcentage de requêtes seulement. La latence des requêtes est augmentée, car le client doit réémettre la demande après avoir reçu le JavaScript. Ces demandes sont également mises en file d’attente

Pour implémenter la protection par DoS HTTP, vous activez la fonctionnalité et définissez une stratégie pour l’application de cette fonctionnalité. Ensuite, vous configurez vos services avec les paramètres requis pour les DoS HTTP. Vous liez également un moniteur TCP à chaque service et liez votre stratégie à chaque service pour la mettre en œuvre.

Protection par déni de service HTTP