ADC

XML-Denial-of-Service-Prüfung

Die XML Denial of Service (XML DoS oder XDoS) -Prüfung untersucht eingehende XML-Anfragen, um festzustellen, ob sie den Merkmalen eines Denial-of-Service (DoS) -Angriffs entsprechen. Wenn es eine Übereinstimmung gibt, werden diese Anfragen blockiert. Der Zweck der XML-DoS-Überprüfung besteht darin, einen Angreifer daran zu hindern, mithilfe von XML-Anfragen einen Denial-of-Service-Angriff auf Ihren Webserver oder Ihre Website zu starten.

Wenn Sie den Assistenten oder die GUI verwenden, können Sie im Dialogfeld Modify XML Denial-of-Service Check auf der Registerkarte Allgemein die Aktionen Block, Log, Statistics und Learn aktivieren oder deaktivieren:

Wenn Sie die Befehlszeilenschnittstelle verwenden, können Sie den folgenden Befehl eingeben, um die XML-Denial-of-Service-Prüfung zu konfigurieren:

  • set appfw profile <name> -xmlDoSAction [**block**] [**log**] [**learn**] [**stats**] [**none**]

Um individuelle XML-Denial-of-Service-Regeln zu konfigurieren, müssen Sie die GUI verwenden. Wählen Sie auf der Registerkarte Prüfungen des Dialogfelds Denial-of-Service-Überprüfung ändern eine Regel aus, und klicken Sie auf Öffnen, um das Dialogfeld Denial-of-Service ändern für diese Regel zu öffnen. Die einzelnen Dialogfelder unterscheiden sich für die verschiedenen Regeln, sind aber einfach. Bei einigen können Sie die Regel nur aktivieren oder deaktivieren, bei anderen können Sie eine Zahl ändern, indem Sie einen neuen Wert in ein Textfeld eingeben.

Hinweis:

Das erwartete Verhalten der Learning Engine bei Denial-of-Service-Angriffen basiert auf der konfigurierten Aktion. Wenn die Aktion als “Blockieren” festgelegt ist, lernt die Engine den konfigurierten Bind-Wert +1 und die XML-Analyse stoppt bei einer Verletzung. Wenn die konfigurierte Aktion nicht als “Block” festgelegt ist, lernt die Engine den tatsächlichen Wert für die Länge des eingehenden Verstoßes.

Die einzelnen XML-Denial-of-Service-Regeln lauten:

  • Maximale Elementtiefe. Beschränken Sie die maximale Anzahl verschachtelter Ebenen in jedem einzelnen Element auf 256. Wenn diese Regel aktiviert ist und die Web App Firewall eine XML-Anfrage mit einem Element erkennt, das mehr als die maximal zulässige Anzahl zulässiger Ebenen hat, blockiert sie die Anfrage. Sie können die maximale Anzahl von Stufen auf einen beliebigen Wert zwischen eins (1) und 65.535 ändern.

  • Maximale Länge des Elementnamens. Beschränken Sie die maximale Länge jedes Elementnamens auf 128 Zeichen. Dies schließt den Namen im erweiterten Namespace ein, der den XML-Pfad und den Elementnamen im folgenden Format enthält:

     {http://prefix.example.com/path/}target_page.xml
     <!--NeedCopy-->
    

Der Benutzer kann die maximale Namenslänge auf einen beliebigen Wert zwischen einem (1) Zeichen und 65.535 ändern.

  • Maximale Anzahl Elemente. Beschränken Sie die maximale Anzahl eines Elementtyps pro XML-Dokument auf 65.535. Sie können die maximale Anzahl von Elementen auf einen beliebigen Wert zwischen eins (1) und 65.535 ändern.

  • Maximale Anzahl an Elementen für Kinder. Beschränken Sie die maximale Anzahl von Kindern (einschließlich anderer Elemente, Zeicheninformationen und Kommentare), die jedes einzelne Element haben darf, auf 65.535. Sie können die maximale Anzahl untergeordnetes Element auf einen beliebigen Wert zwischen eins (1) und 65.535 ändern.

  • Maximale Anzahl an Attributen. Beschränken Sie die maximale Anzahl von Attributen, die jedes einzelne Element haben darf, auf 256. Sie können die maximale Anzahl von Attributen auf einen beliebigen Wert zwischen eins (1) und 256 ändern.

  • Maximale Länge des Attributnamens. Beschränken Sie die maximale Länge jedes Attributnamens auf 128 Zeichen. Sie können die maximale Länge des Attributnamens auf einen beliebigen Wert zwischen eins (1) und 2.048 ändern.

  • Maximale Länge von Attributwerten. Beschränken Sie die maximale Länge jedes Attributwerts auf 2048 Zeichen. Sie können die maximale Länge des Attributnamens auf einen beliebigen Wert zwischen eins (1) und 2.048 ändern.

  • Maximale Zeichendatenlänge. Beschränken Sie die maximale Zeichendatenlänge für jedes Element auf 65.535. Sie können die Länge auf einen beliebigen Wert zwischen eins (1) und 65.535 ändern.

  • Maximale Dateigröße. Beschränken Sie die Größe jeder Datei auf 20 MB. Sie können die maximale Dateigröße auf einen beliebigen Wert ändern.

  • Minimale Dateigröße. Erfordert, dass jede Datei mindestens 9 Byte lang ist. Sie können die Mindestdateigröße auf eine beliebige positive Ganzzahl ändern, die verschiedene Byte darstellt.

  • Maximale Anzahl von Entitätserweiterungen. Beschränkt die Anzahl der zulässigen Entitätserweiterungen auf die angegebene Anzahl. Standard: 1024.

  • Maximale Entitätserweiterungstiefe. Beschränken Sie die maximale Anzahl verschachtelter Entitätserweiterungen auf nicht mehr als die angegebene Anzahl. Standard: 32.

  • Maximal # Namespaces. Beschränkt die Anzahl der Namespace-Deklarationen in einem XML-Dokument auf nicht mehr als die angegebene Anzahl. Standard: 16.

  • Maximale Namespace-URI-Länge. Beschränken Sie die URL-Länge jeder Namespace-Deklaration auf nicht mehr als die angegebene Anzahl von Zeichen. Standard: 256.

  • Blockieren Sie Verarbeitungsanweisungen. Blockieren Sie alle speziellen Verarbeitungsanweisungen, die in der Anfrage enthalten sind. Diese Regel hat keine vom Benutzer änderbaren Werte.

  • Blockieren Sie DTD. Blockieren Sie alle Dokumenttypdefinitionen (DTD), die in der Anfrage enthalten sind. Diese Regel hat keine vom Benutzer änderbaren Werte.

  • Blockieren Sie externe Entitäten. Blockiert alle Verweise auf externe Entitäten in der Anfrage. Diese Regel hat keine vom Benutzer änderbaren Werte.

  • SOAP-Array-Prüfung. Aktivieren oder deaktivieren Sie die folgenden SOAP-Array-Prüfungen:

    • Maximale SOAP-Array-Größe. Die maximale Gesamtgröße aller SOAP-Arrays in einer XML-Anfrage, bevor die Verbindung blockiert wird. Sie können diesen Wert ändern. Standard: 20000000.
    • Maximaler SOAP-Array-Rang. Der maximale Rang oder die maximalen Dimensionen eines einzelnen SOAP-Arrays in einer XML-Anfrage, bevor die Verbindung blockiert wird. Sie können diesen Wert ändern. Standard: 16.
XML-Denial-of-Service-Prüfung

In diesem Artikel