Citrix ADC

Réglage de la détection du client/taux de réponse du challenger JavaScript

Une fois que vous avez activé et configuré la protection HTTP DoS, si plus de clients sont en attente dans la file d’attente de surtension d’Citrix ADC pour le service HTTP DoS, la fonction de protection HTTP DoS est déclenchée. Le taux par défaut de réponses JavaScript contestées envoyées au client correspond à un pour cent du taux de réponse du serveur. Toutefois, le taux de réponse par défaut est insuffisant dans de nombreux scénarios d’attaque réels et peut nécessiter d’être réglé.

Par exemple, supposons que le serveur Web est capable d’un maximum de 500 réponses/s, mais qu’il reçoit 10 000 Gets/s. Si 1% des réponses du serveur sont envoyées en tant que défis JavaScript, les réponses sont réduites à presque aucune : 5 réponses JavaScript client (500 *0.01), pour 10000 demandes client en attente. Seulement 0,05% des vrais clients reçoivent des réponses de challenge JavaScript. Toutefois, si le taux de réponse aux défis de détection du client/JavaScript est très élevé (par exemple, 10 %, générant 1000 réponses JavaScript de défi par seconde), il peut saturer les liens en amont ou endommager les périphériques réseau en amont. Faites preuve de prudence lors de la modification de la valeur par défaut du taux de détection du client .

Si la profondeur de la file d’attente de surtension configurée est, par exemple, 200 et que la taille de la file d’attente de surtension bascule entre 199 et 200, Citrix ADC bascule entre les modes « attack » et « no-attack », ce qui n’est pas souhaitable. La fonctionnalité DoS HTTP inclut un mécanisme de fenêtre avec une taille par défaut de 20. Une fois que la taille de la file d’attente de surtension atteint la valeur de profondeur de file d’attente spécifiée, déclenchant le mode « attaque », la taille de la file d’attente de surtension doit être inférieure à 20 à la profondeur de file d’attente spécifiée pour que l’appliance Citrix ADC passe en mode « no-attack ». Dans l’exemple, la taille de la file d’attente de surtension doit être inférieure à 180 avant que l’appliance entre en mode « no-attack ». Lors de la configuration, vous devez spécifier une valeur supérieure à 20 pour le paramètre QDepth lors de l’ajout d’une stratégie DoS ou de la définition d’une stratégie DoS.

La profondeur de la file d’attente de surtension déclenchante doit être configurée sur la base d’observations antérieures sur les caractéristiques du trafic. Pour plus d’informations sur la configuration d’une configuration correcte, reportez-vous à la section Instructions pour le déploiement de la protection contre DoS HTTP.

Réglage de la détection du client/taux de réponse du challenger JavaScript