Citrix ADC

HTTP DoS 保護の展開に関するガイドライン

HTTP DoS保護機能は、テストおよび計画された方法で展開し、最初の展開後にパフォーマンスを注意深く監視することをお勧めします。HTTP DoS 保護の展開を微調整するには、次の情報を使用します。

  • サーバーがサポートする同時接続の最大数。
  • サーバーでサポートされている同時接続の平均値と正常値。
  • サーバーが生成できる最大出力レート(応答数/秒)。
  • サーバーが処理する平均トラフィック。
  • ネットワークの標準的な帯域幅。
  • アップストリームで使用可能な最大帯域幅。
  • 帯域幅に影響する制限(外部リンク、特定のルータ、またはトラフィックが急増する可能性のあるパス上のその他の重要なデバイスなど)。
  • アップストリームネットワークデバイスを保護するよりも、多くのクライアントの接続を許可することが重要であるかどうか。

HTTP DoS 攻撃の特性を判断するには、次の問題を考慮する必要があります。

  • 過去に経験した偽リクエストの受信率はいくらですか?
  • どのような種類のリクエストを受けましたか(完全な投稿、不完全な取得)?
  • 以前の攻撃によってダウンストリームリンクが飽和状態になりましたか。そうでない場合、帯域幅は何でしたか?
  • HTTPリクエストにはどのような種類の送信元IPアドレスと送信元ポートがありますか(たとえば、1つのサブネットからのIPアドレス、一定IPアドレス、ポート数が1つ増えるなど)。
  • 将来どのような種類の攻撃が予想されますか? 過去にどのようなタイプを見たことがありますか?
  • DoS 攻撃保護の調整に役立つ情報またはすべてです。

HTTP DoS 保護の展開に関するガイドライン