Citrix ADC

クライアント検出/JavaScript チャレンジャレスポンスレートのチューニング

HTTP DoS保護を有効にして構成した後、Citrix ADCサージキューでHTTP DoSサービスを待機しているクライアントの最大数を超えると、HTTP DoS保護機能がトリガーされます。クライアントに送信されるチャレンジ済み JavaScript 応答のデフォルトのレートは、サーバの応答レートの 1% です。ただし、デフォルトの応答速度は、実際の攻撃シナリオでは不十分であり、調整が必要な場合があります。

たとえば、Web サーバーが最大 500 応答/秒に対応しているが、10,000 Gets/秒を受信しているとします。サーバー応答の 1% が JavaScript チャレンジとして送信された場合、応答はほとんどどれにも減少します。5 クライアント (500 * 0.01) の JavaScript 応答、10000待機クライアント要求に対して。実際のクライアントの約 0.05% のみがJavaScriptチャレンジ応答を受信します。ただし、クライアントの検出/JavaScript チャレンジ応答レートが非常に高い場合(たとえば、10%、1 秒あたり 1000 のチャレンジ JavaScript 応答を生成するなど)、アップストリームリンクが飽和状態になるか、アップストリームネットワークデバイスに損害を与える可能性があります。デフォルトの [クライアント検出レート] の値を変更するときは注意してください。

設定済みのトリガーサージキューの深さが200で、サージキューのサイズが199から200の間で切り替わっている場合、Citrix ADCは「攻撃」モードと「非攻撃」モードを切り替えます。これは望ましくありません。HTTP DoS 機能には、デフォルトサイズ 20 のウィンドウメカニズムが含まれています。サージキューのサイズが指定されたキューの深度値に達し、「攻撃」モードがトリガーされると、Citrix ADCアプライアンスが「攻撃なし」モードになるためには、サージキューのサイズが指定されたキューの深度より20小さくなる必要があります。この例では、アプライアンスが「no-attack」モードに入る前に、サージキューのサイズが 180 を下回る必要があります。設定時に、DoS ポリシーを追加する場合、または DoS ポリシーを設定する場合は、 QDepth パラメータに 20 を超える値を指定する必要があります。

トリガーサージのキューの深さは、トラフィック特性の以前の観測に基づいて設定する必要があります。正しい設定の詳細については、HTTP DoS 保護の展開に関するガイドラインを参照してください。

クライアント検出/JavaScript チャレンジャレスポンスレートのチューニング