Citrix ADC

HTTP 拒绝服务保护

警告

HTTP 拒绝服务保护 (HDoSP) 已从 Citrix ADC 12.0 版本 56.20 版本中弃用,作为替代方案,Citrix 建议您使用 AppQoE。有关详细信息,请参阅AppQoE

Internet 黑客可以通过发送大量 GET 请求或其他 HTTP 级请求来关闭网站。HTTP 拒绝服务 (HTTP Dos) 保护提供了一种有效的方法来防止此类攻击被中继到受保护的 Web 服务器。HTTP DoS 功能还可确保位于 Internet 云和 Web 服务器之间的 Citrix ADC 设备不会因 HTTP DoS 攻击而导致故障。

Internet 上的大多数攻击者使用放弃响应的应用程序来降低计算成本,并尽量减少其大小以避免检测。攻击者专注于速度,设计发送攻击数据包的方法,建立连接或尽可能快地发送 HTTP 请求。

真正的 HTTP 客户端,如 Internet Explorer、Firefox 或 NetScape 浏览器可以理解 HTML 刷新元标签,Java 脚本和 cookie。在标准 HTTP 中,客户端启用了大部分这些功能。但是,DoS 攻击中使用的虚拟客户端无法解析来自服务器的响应。如果恶意客户端试图以智能方式解析和发送请求,则他们很难积极地启动攻击。

Citrix ADC 设备检测到攻击时,它会使用包含简单刷新和 Cookie 的 Java 或 HTML 脚本响应一定百分比的传入请求。(您可以通过设置客户端检测速率参数来配置该百分比。) 真实的 Web 浏览器和其他基于 Web 的客户端程序可以解析此响应,然后使用 cookie 重新发送 POST 请求。DoS 客户端会删除 Citrix ADC 设备的响应而不是解析响应,因此也会删除其请求。

即使合法客户端正确响应 Citrix ADC 设备的刷新响应,客户端 POST 请求中的 cookie 可能在以下情况下变为无效:

  • 如果原始请求是在 Citrix ADC 设备检测到 DoS 攻击之前发出的,但重新发送请求是在设备受到攻击之后发出的。
  • 当客户的思考时间超过四分钟时,cookie 变得无效。

这两种情况都是罕见的,但并非不可能。此外,HTTP DoS 保护功能有以下限制:

  • 在攻击下,所有 POST 请求都被删除,并发送带有 cookie 的错误页面。
  • 在攻击下,所有没有 cookie 的嵌入式对象都被删除,并发送带有 cookie 的错误页面。

HTTP DoS 保护功能可能会影响其他 Citrix ADC 功能。但是,对特定内容交换策略使用 DoS 保护会产生额外的开销,因为策略引擎必须找到要匹配的策略。由于加密数据的 SSL 解密,SSL 请求会产生一些开销。但是,由于大多数攻击不是在安全的网络上,因此攻击不那么具有攻击性。

如果您已经实施了优先级排队,则 Citrix ADC 设备在低优先级队列中将请求放置在没有适当 Cookie 的情况下。虽然这会产生开销,但它会保护 Web 服务器免受虚假客户端的影响。HTTP DoS 保护通常对吞吐量影响最小,因为测试 JavaScript 仅针对一小部分请求发送。请求的延迟会增加,因为客户端必须在收到 JavaScript 后重新发出请求。这些请求也排队

要实施 HTTP DoS 保护,请启用该功能并定义应用此功能的策略。然后,您可以使用 HTTP DoS 所需的设置来配置您的服务。您还可以将 TCP 监视器绑定到每个服务,并将策略绑定到每个服务以使其生效。

HTTP 拒绝服务保护