Esse tipo de proteção é desativado por padrão, pois pode reduzir o desempenho e frustrar os usuários se não for configurado corretamente. Não ative a lista de negação de clientes se estiver usando um gateway, como um appliance do Unified Access Gateway, que apresenta todas as conexões do cliente como o mesmo endereço IP.
Se ativado, as conexões de clientes na lista de proibições serão atrasadas por um período configurável antes do processamento. Se muitas conexões do mesmo cliente estiverem sendo atrasadas ao mesmo tempo, outras conexões desse cliente serão recusadas, em vez de atrasadas. Esse limite é configurável.
Você pode ativar esse recurso adicionando a seguinte propriedade ao arquivo locked.properties
:
secureHandshakeDelay = delay_in_milliseconds
Por exemplo:
secureHandshakeDelay = 2000
Para desativar a lista de negação de conexões HTTPS, remova a entrada secureHandshakeDelay
ou defina-a como 0.
Quando ocorre uma sobrecarga de handshake de TLS, o endereço IP do cliente é adicionado à lista de proibições por um período mínimo igual à soma de handshakeLifetime
e secureHandshakeDelay
.
Usando os valores nos exemplos acima, o endereço IP de um cliente com mau comportamento é negado por 22 segundos:
(20 * 1000) + 2000 = 22 seconds
O período mínimo é estendido sempre que uma conexão do mesmo endereço IP apresenta um mau comportamento. O endereço IP é removido da lista de proibições após o período mínimo expirar e após o processamento da última conexão atrasada desse endereço IP.
Uma sobrecarga de handshake de TLS não é o único motivo para proibir um cliente. Outros motivos incluem uma série de conexões abandonadas ou uma série de solicitações que terminam com erro, como várias tentativas de acessar URLs inexistentes. Esses vários gatilhos têm diferentes períodos mínimos de lista de negações. Para estender o monitoramento desses gatilhos adicionais para a porta 80, adicione a seguinte entrada ao arquivo locked.properties
:
insecureHandshakeDelay = delay_in_milliseconds
Por exemplo:
insecureHandshakeDelay = 1000
Para desativar a lista de negações de conexões HTTP, remova a entrada insecureHandshakeDelay
ou defina-a como 0.