Esse tipo de proteção é desativado por padrão, pois pode reduzir o desempenho e frustrar os usuários se não estiver configurado corretamente. Não ative a lista negra de clientes se estiver usando um gateway, como um appliance do Unified Access Gateway, que apresenta todas as conexões de clientes como o mesmo endereço IP.

Se ativado, as conexões de clientes na lista de proibições serão atrasadas por um período configurável antes do processamento. Se muitas conexões do mesmo cliente estiverem sendo atrasadas ao mesmo tempo, outras conexões desse cliente serão recusadas, em vez de atrasadas. Esse limite é configurável.

Você pode ativar esse recurso adicionando a seguinte propriedade ao arquivo locked.properties:

secureHandshakeDelay = delay_in_milliseconds

Por exemplo:

secureHandshakeDelay = 2000

Para desativar a lista negra de conexões HTTPS, remova a entrada secureHandshakeDelay ou defina-a como 0.

Quando ocorre uma sobrecarga de handshake de TLS, o endereço IP do cliente é adicionado à lista de proibições por um período mínimo igual à soma de handshakeLifetime e secureHandshakeDelay.

Usando os valores nos exemplos acima, o endereço IP de um cliente com mau comportamento é colocado na lista de proibições por 22 segundos:

 (20 * 1000) + 2000 = 22 seconds

O período mínimo é estendido sempre que uma conexão do mesmo endereço IP apresenta um mau comportamento. O endereço IP é removido da lista de proibições após o período mínimo expirar e após o processamento da última conexão atrasada desse endereço IP.

Uma sobrecarga de handshake de TLS não é o único motivo para não autorizar um cliente. Outros motivos incluem uma série de conexões abandonadas ou uma série de solicitações que terminam com erro, como várias tentativas de acessar URLs inexistentes. Esses vários gatilhos têm diferentes períodos mínimos de lista negra. Para estender o monitoramento desses gatilhos adicionais para a porta 80, adicione a seguinte entrada ao arquivo locked.properties:

insecureHandshakeDelay = delay_in_milliseconds

Por exemplo:

 insecureHandshakeDelay = 1000

Para desativar a lista negra de conexões HTTP, remova a entrada insecureHandshakeDelay ou defina-a como 0.