Citrix ADC

调节客户端检测/JavaScript 挑战者响应率

启用并配置 HTTP DoS 保护后,如果在 Citrix ADC 浪涌队列中等待 HTTP DoS 服务的客户端超过指定的最大数量,则会触发 HTTP DoS 保护功能。发送到客户端的受质疑 JavaScript 响应的默认速率是服务器响应速率的 1%。但是,在许多实际攻击场景中,默认响应率不足,可能需要进行调整。

例如,假定 Web 服务器能够最多 500 个响应/秒,但正在接收 10,000 个 Gets/秒。如果 1% 的服务器响应作为 JavaScript 挑战发送,响应将减少到几乎没有:5 个客户端(500 *0.01)JavaScript 响应,对于 10000 个等待客户端请求。只有大约 0.05% 的真实客户接收 JavaScript 挑战响应。但是,如果客户端检测/JavaScript 质询响应率非常高(例如 10%,每秒生成 1000 个质询 JavaScript 响应),则可能会使上游链路饱和或损害上游网络设备。修改默认的客户端检测率值时要小心。

如果配置的触发浪涌队列深度为 200,并且浪涌队列大小在 199 和 200 之间切换,Citrix ADC 将在“攻击”和“无攻击”模式之间切换,这是不理想的。HTTP DoS 功能包括默认大小为 20 的窗口机制。浪涌队列大小达到指定的队列深度值后触发“攻击”模式,浪涌队列大小必须比 Citrix ADC 设备的指定队列深度小 20,才能进入“无攻击”模式。在该示例中,在设备进入“无攻击”模式之前,浪涌队列大小必须低于 180。在配置过程中,在添加 DoS 策略或设置 DoS 策略时,您必须为 QDepth 参数指定一个大于 20 的值。

触发浪涌队列深度应根据先前对流量特征的观测结果进行配置。有关设置正确配置的更多信息,请参阅HTTP DoS 保护部署指南

调节客户端检测/JavaScript 挑战者响应率