产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

HTTP拒绝服务保护

2020年9月21日
由:
年代

警告

HTTP拒绝服务保护(HDoSP)已从Citrix ADC 12.0构建56.20起弃用,作为替代方案,Citrix建议您使用AppQoE。有关更多信息,请参见AppQoE

互联网黑客可以通过发送大量GET请求或其他http级请求来瘫痪一个站点。HTTP拒绝服务(HTTP Dos)保护提供了一种有效的方法来防止此类攻击被转发到受保护的Web服务器。HTTP DoS功能还确保位于互联网云和Web服务器之间的Citrix ADC设备不会因HTTP DoS攻击而瘫痪。

Internet上的大多数攻击者使用丢弃响应的应用程序来减少计算成本,并将其大小最小化以避免被检测到。攻击者注重速度,想方设法以最快的速度发送攻击数据包、建立连接或发送HTTP请求。

Internet Explorer、Firefox或NetScape浏览器等真实的HTTP客户端可以理解HTML Refresh元标签、Java脚本和cookie。在标准HTTP中,客户端启用了大多数这些特性。但是,用于DoS攻击的虚拟客户端无法解析来自服务器的响应。如果恶意客户端试图智能地解析和发送请求,他们就很难发起猛烈的攻击。

当Citrix ADC设备检测到攻击时,它使用包含简单刷新和cookie的Java或HTML脚本响应一定比例的传入请求。(通过设置客户端检测率参数来配置该百分比。)真正的Web浏览器和其他基于Web的客户机程序可以解析此响应,然后使用cookie重新发送POST请求。DoS客户机丢弃Citrix ADC设备的响应,而不是解析它,因此它们的请求也被丢弃。

即使合法客户端正确响应Citrix ADC设备的刷新响应,在以下情况下,客户端POST请求中的cookie也可能无效:

  • 如果原始请求是在Citrix ADC设备检测到DoS攻击之前发出的,但是重发请求是在设备受到攻击之后发出的。
  • 当客户端的思考时间超过4分钟时,该cookie失效。

这两种情况都很少见,但并非不可能。另外,HTTP DoS防护特性有以下限制:

  • 受到攻击时,所有POST请求都会被丢弃,并发送带有cookie的错误页面。
  • 受到攻击时,所有没有cookie的嵌入对象都会被丢弃,并发送带有cookie的错误页面。

HTTP DoS防护特性可能会影响Citrix ADC的其他特性。但是,对特定的内容切换策略使用DoS保护会产生额外的开销,因为策略引擎必须找到要匹配的策略。由于SSL对加密数据进行解密,因此SSL请求有一些开销。但是,由于大多数攻击都不是在安全的网络上进行的,因此攻击的攻击性较小。

如果您已经实现了优先级队列,那么当它受到攻击时,Citrix ADC设备会将没有适当cookie的请求放在低优先级队列中。尽管这会产生开销,但它可以保护Web服务器免受错误客户机的侵害。HTTP DoS保护通常对吞吐量的影响很小,因为测试JavaScript只针对一小部分请求发送。请求的延迟会增加,因为客户端在收到JavaScript后必须重新发出请求。这些请求也会排队

要实现HTTP DoS保护,需要启用该特性并定义应用该特性的策略。然后使用HTTP DoS所需的设置来配置服务。您还将TCP监视器绑定到每个服务,并将策略绑定到每个服务以使其生效。

HTTP拒绝服务保护
2020年9月21日
由:
年代
2020年9月21日
由:
年代

在本文中

    网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
    ©1999 -思杰系统有限公司版权所有。