Diese Art des Schutzes ist standardmäßig deaktiviert, da sie die Leistung reduzieren und Benutzer frustrieren kann, wenn sie nicht korrekt konfiguriert ist. Aktivieren Sie das Client-Blacklisting nicht, wenn Sie ein Gateway wie z. B. eine Unified Access Gateway-Appliance verwenden, die alle Clientverbindungen mit derselben IP-Adresse anzeigt.

Wenn diese Option aktiviert ist, werden Verbindungen von Clients auf der Blacklist für einen konfigurierbaren Zeitraum vor der Verarbeitung verzögert. Wenn viele Verbindungen von demselben Client zur gleichen Zeit verzögert werden, werden weitere Verbindungen von diesem Client abgelehnt anstatt verzögert. Dieser Schwellenwert ist konfigurierbar.

Sie können diese Funktion durch Hinzufügen der folgenden Eigenschaft zur Datei locked.properties aktivieren:

secureHandshakeDelay = delay_in_milliseconds

Beispiel:

secureHandshakeDelay = 2000

Um schwarze Listen von HTTPS-Verbindungen zu deaktivieren, entfernen Sie den Eintrag secureHandshakeDelay oder legen Sie diesen auf 0 fest.

Wenn ein TLS-Handshake zu lange dauert, wird die IP-Adresse des Clients für einen Mindestzeitraum, der der Summe von handshakeLifetime und secureHandshakeDelay entspricht, der Blacklist hinzugefügt.

Mit den Werten in den obigen Beispielen wird die IP-Adresse eines fehlverhaltenden Clients 22 Sekunden lang auf die Blacklist gesetzt:

 (20 * 1000) + 2000 = 22 seconds

Der Mindestzeitraum wird immer dann erweitert, wenn eine Verbindung von der gleichen IP-Adresse fehlerhaft ist. Die IP-Adresse wird nach Ablauf des Mindestzeitraums und nach der Verarbeitung der letzten verzögerten Verbindung von dieser IP-Adresse aus der schwarzen Liste entfernt.

Zu langwierige TLS-Handshakes sind nicht der einzige Grund für die Aufnahme in die schwarze Liste von Client-IP-Adressen. Weitere Gründe sind eine Reihe abgebrochener Verbindungen oder eine Reihe von Anforderungen mit fehlerhaftem Ergebnis sowie wiederholte Versuche, auf nicht vorhandene URLs zuzugreifen. Diese unterschiedlichen Auslöser verfügen über unterschiedliche Mindestzeiträume für schwarze Listen. Um die Überwachung dieser zusätzlichen Auslöser auf Port 80 zu erweitern, fügen Sie der Datei locked.properties den folgenden Eintrag hinzu:

insecureHandshakeDelay = delay_in_milliseconds

Beispiel:

 insecureHandshakeDelay = 1000

Um schwarze Listen von HTTP-Verbindungen zu deaktivieren, entfernen Sie den Eintrag insecureHandshakeDelay oder legen Sie diesen auf 0 fest.