Citrix ADC

HTTP サービス拒否保護

警告

HTTPサービス拒否攻撃からの保護(HDoSP)は、Citrix ADC 12.0ビルド56.20以降では非推奨になっています。代わりに、AppQoEを使用することをお勧めします。詳しくは、「AppQoE」を参照してください。

インターネットのハッカーは、大量の GET リクエストや他の HTTP レベルのリクエストを送信することによって、サイトをダウンさせる可能性があります。HTTP サービス拒否 (HTTP Dos) 保護は、このような攻撃が保護された Web サーバーに中継されるのを防ぐ効果的な方法を提供します。また、HTTP DoS機能によって、インターネットクラウドとWebサーバーの間にあるCitrix ADCアプライアンスがHTTP DoS攻撃によってダウンしないようにします。

インターネット上のほとんどの攻撃者は、応答を破棄するアプリケーションを使用して計算コストを削減し、検出を回避するためにサイズを最小化します。攻撃者は速度に焦点を当て、攻撃パケットを送信する方法、接続を確立する方法、または可能な限り迅速に HTTP 要求を送信する方法を考案します。

Internet Explorer、Firefox、またはNetScapeブラウザなどの実際のHTTPクライアントは、HTMLリフレッシュメタタグ、Javaスクリプト、およびクッキーを理解することができます。標準HTTPでは、クライアントはこれらの機能のほとんどを有効にしています。ただし、DoS 攻撃で使用されるダミーのクライアントは、サーバーからの応答を解析できません。悪意のあるクライアントが要求をインテリジェントに解析して送信しようとすると、攻撃を積極的に開始することは困難になります。

Citrix ADCアプライアンスは攻撃を検出すると、単純な更新とCookieを含むJavaまたはHTMLスクリプトを使用して、受信リクエストの割合に応答します。(この割合は、[クライアント検出レート] パラメータを設定して設定します)。 実際のWebブラウザとその他のWebベースのクライアントプログラムは、この応答を解析し、Cookieを使用してPOST要求を再送信することができます。DoSクライアントは、Citrix ADCアプライアンスの応答を解析する代わりにドロップします。したがって、それらの要求もドロップされます。

正当なクライアントがCitrix ADCアプライアンスの更新応答に正しく応答しても、クライアントのPOST要求内のCookieが次の条件で無効になることがあります。

  • Citrix ADCアプライアンスがDoS攻撃を検出する前に元の要求が行われたが、アプライアンスが攻撃を受けた後に再送信要求が行われた場合。
  • クライアントの思考時間が4分を超えると、Cookieが無効になります。

これらのシナリオはどちらもまれですが、不可能ではありません。また、HTTP DoS 保護機能には次の制限があります。

  • 攻撃を受けると、すべての POST 要求がドロップされ、Cookie を含むエラーページが送信されます。
  • 攻撃を受けると、クッキーを持たないすべての埋め込みオブジェクトがドロップされ、クッキーを含むエラーページが送信されます。

HTTP DoS保護機能は、Citrix ADCの他の機能に影響を与える可能性があります。ただし、特定のコンテンツスイッチングポリシーに対して DoS 保護を使用すると、ポリシーエンジンが一致するポリシーを検出する必要があるため、追加のオーバーヘッドが発生します。暗号化されたデータの SSL 復号化により、SSL 要求にいくらかのオーバーヘッドが発生します。ただし、ほとんどの攻撃は安全なネットワーク上にないため、攻撃はあまり攻撃的ではありません。

優先キューを実装している場合、攻撃を受けている間にCitrix ADCアプライアンスは、適切なCookieのない要求を優先度の低いキューに入れます。これはオーバーヘッドを作成しますが、偽のクライアントからWebサーバーを保護します。HTTP DoS 保護は、通常、スループットに対する影響は最小限です。テスト JavaScript はわずかな割合のリクエストに対してのみ送信されるためです。リクエストのレイテンシーは増加します。これは、クライアントが JavaScript を受信した後にリクエストを再発行する必要があるためです。これらの要求もキューに入れられます

HTTP DoS 保護を実装するには、機能を有効にし、この機能を適用するためのポリシーを定義します。次に、HTTP DoS に必要な設定を使用してサービスを構成します。また、TCP モニターを各サービスにバインドし、ポリシーを各サービスにバインドして有効にします。

HTTP サービス拒否保護