Application Delivery Management

Details zu Netzwerkverletzungen

HTTP Slow Loris

Slow Loris ist ein Denial-of-Service-Angriff, der HTTP-Header so langsam wie möglich an die Zielanwendung senden kann. Die Zielanwendung ist gezwungen, auf die Ankunft von Headern zu warten und kann auch schnell nicht mehr verfügbar sein, um Anfragen zu bearbeiten, wenn mehrere ähnliche Verbindungen geöffnet werden. Wenn eine NetScaler ADC-Instanz eine hohe Anzahl von HTTP-Anforderungen empfängt, erhöht sich der HTTP-Header und benötigt lange Zeit, um die Anforderungen abzuschließen. Dieser Prozess kann die Ressourcen des Anwendungsservers erschöpfen und zu einem HTTP Slow Loris-Angriff führen.

Mit dem HTTP Slow Loris Indikator können Sie die Anforderungen analysieren, die zu einem langsamen Loris-Attacke führen.

Attack

Die empfohlenen Aktionen zur Behebung des Problems:

  • Erwägen Sie, die unvollständige Header Delay (incompHdrDelay) -Konfiguration auf einen kleineren Wert einzustellen.

  • Standardmäßig löscht die NetScaler ADC-Instanz diese unvollständigen Anforderungen.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Die Grafik zeigt alle Verstöße

  • Zeitpunkt des Auftretens des Verstoßes

  • Die Erkennungsmeldung, die die insgesamt unvollständigen Anfragen als Slow Loris Angriff angibt

DNS Slow Loris

Der DNS-Slow-Loris Indikator erkennt, wenn ein NetScaler ADC eine hohe Anzahl von DNS-Anfragen erhält, die mehr als ein Paket umfassen. Dieser Prozess kann DNS-Serverressourcen ausschöpfen und zu DNS-Slow-Loris Angriffen führen. Standardmäßig löscht die NetScaler ADC-Instanz diese DNS-Slow-Loris-Anfragen, und es sind keine weiteren Maßnahmen erforderlich, um dieses Problem zu beheben.

DNS-Angriff

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Die Grafik zeigt alle Verstöße

  • Zeitpunkt des Auftretens des Verstoßes

  • Die Erkennungsmeldung, die die gesamten DNS-Anfragen als langsamen Loris-Angriff anzeigt

Langsame HTTP-Post

Der Slow Post ist ein Denial-of-Service-Angriff, der HTTP-POST-Header an eine Zielanwendung senden kann. In den Headern sind die Textnachrichtengrößen korrekt angegeben, der Nachrichtentext wird jedoch mit einer niedrigen Geschwindigkeit gesendet. Die Zielanwendung muss warten und kann auch schnell nicht mehr verfügbar sein, um Anfragen zu bearbeiten, wenn mehrere ähnliche Verbindungen geöffnet werden.

Dieser Prozess kann Anwendungsserver-Ressourcen ausschöpfen und zu einem HTTP Slow Post-Angriff führen.

Mit dem Indikator HTTP Slow Post können Sie die Anforderungen analysieren, die zu einem langsamen Nachangriff geführt haben.

Langsamer HTTP-Beitrag

Die empfohlene Aktion zur Behebung dieses Problems zum Aktivieren und Konfigurieren von Request Timeout im NetScaler ADC HTTP-Profil. Weitere Informationen finden Sie unter HTTP-Konfigurationen.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Die Grafik zeigt alle Verstöße

  • Zeitpunkt des Auftretens des Verstoßes

  • Die Erkennungsmeldung, die die Gesamtzahl der POST-Anfragen als langsamen Loris-Angriff

NXDOMAIN Flood-Angriff

NXDOMAIN Flood Attack ist ein Distributed Denial-of-Service-Angriff (DDoS), der auf einen DNS-Server oder eine ADC-Instanz (die als DNS-Proxyserver konfiguriert ist) abzielen und ein hohes Volumen an Nicht-Existenz- oder ungültigen Anfragen senden kann. Dieser Angriff kann sich auf den DNS-Server oder die ADC-Instanz auswirken, was zu einer Verlangsamung oder Anfragen führt, die keine Antwort erhalten.

Mithilfe des NXDOMAIN Flood Attack-Indikators können Sie die Anforderungen analysieren, die zu einem NXDOMAIN-Angriff geführt werden.

NXDOMAIN

Die empfohlenen Aktionen zur Behebung des Problems:

  • Überprüfen Sie auf ungewöhnlich hohen Ressourcenverbrauch sowohl auf DNS-Server als auch auf DNS-Proxyserver.

  • Erzwingen eines Limit für die Anforderungsrate in der NetScaler ADC-Instanz

  • Isolieren und Blockieren verdächtiger Client-IP-Adressen

  • Wenn die meisten Namen zu NXDOMAIN führen, folgen Sie einem identifizierbaren Muster und konfigurieren Sie DNS-Richtlinien, um solche Anfragen zu löschen

  • Um Speicher für echte DNS-Einträge zu sparen, konfigurieren Sie ein Limit für negative Datensätze in der NetScaler ADC-Instanz. Weitere Informationen finden Sie unter Abwehr von DNS-DDoS-Angriffen.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Die Grafik zeigt alle Verstöße

HTTP-Desync-Angriff

Bei einem HTTP-Desync-Angriff wird eine einzelne HTTP-Anfrage wie folgt interpretiert:

  • Eine einzelne Anfrage an den Front-End-Server (virtueller Server)
  • 2 Anfragen an den Back-End-Server

In diesem Szenario interpretiert der Back-End-Server, dass die zweite Anfrage von einem anderen Client stammt. Die Verbindung zwischen dem virtuellen Server und dem Back-End-Server wird für verschiedene Anfragen wiederverwendet. Wenn die erste Clientanfrage von einem böswilligen Client mit einigen bösartigen Daten verarbeitet wird, kann die nächste Clientanfrage eine benutzerdefinierte Anfrage haben. Diese Aktivität kann einen Angriff verursachen, indem die Kombination von zwei Headern missbraucht wird: Länge des Inhalts und der Übertragungscodierung.

Mithilfe des HTTP Desync Attack-Indikators können Sie analysieren, ob die NetScaler ADC-Instanz möglicherweise HTTP-Desync-Angriffen ausgesetzt ist, der aufgrund des Vorhandenseins von:

  • Inhaltslänge und Übertragungscodierungs-Header in einer einzigen HTTP-Transaktion

  • Mehrere Content-Längen-Header mit unterschiedlichen Werten in einer einzelnen HTTP-Transaktion

    HTTP-Desync-Angriff

Die empfohlene Aktion schlägt vor, dass Sie erwägen, ungültige HTTP-Transaktionen abzulegen.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von dieser Verletzung betroffen sind.

  • Die Grafik, in der die Einzelheiten der Verstöße angegeben sind Bewegen Sie den Mauszeiger auf das Balkendiagramm, um die insgesamt ungültigen Anforderungen/-antworte anzuzeigen.

  • Die Erkennungsmeldung für den Verstoß, die die Gesamtanfragen/Antworten angibt:

    • Enthält mehrere Content-Längen-Header mit unterschiedlichen Werten

    • Enthält sowohl Header für Inhaltslänge als auch mit Übertragungscodierung

Bleichenbacher Angriff

Die NetScaler ADC-Instanz erkennt, ob eine bestimmte Bytefolge einer verschlüsselten Nachricht bei der Entschlüsselung das richtige Auffüllformat aufweist.

Mithilfe des Bleichenbacher Attack-Indikators können Sie analysieren, ob die NetScaler ADC-Instanz SSL/TLS-Handshake-Verbindungen mit fehlerhaften verschlüsselten Daten erhält.

Bleichenbacher

Die empfohlene Aktion zeigt an, dass keine weiteren Maßnahmen erforderlich sind, da die NetScaler ADC-Instanz die Handshake-Verbindungen beendet und diesen Angriff abwehrt.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von dieser Verletzung betroffen sind.

  • Die Grafik, in der die Einzelheiten der Verstöße angegeben sind Bewegen Sie den Mauszeiger auf das Balkendiagramm, um die insgesamt erkannten fehlerhaften Handshake-Verbindungen anzuzeigen.

  • Die Erkennungsmeldung für den Verstoß, die die gesamten Handshake-Verbindungen auf dem virtuellen Server mit fehlerhaften verschlüsselten Daten angibt.

Segment-Smack-Angriff

Ein Segment Smack-Angriff ist ein Denial-of-Service-Angriff (DoS), bei dem der Angreifer während einer TCP-Sitzung ungeordnete kleine Pakete senden kann. Diese angepassten TCP-Pakete können sich auf die CPU und den Arbeitsspeicher auswirken und zu einem Denial-of-Service auf der NetScaler ADC-Instanz führen.

Mithilfe des Indikators “ Segment Smack Attack “ können Sie analysieren, ob eine NetScaler ADC-Instanz eine große Anzahl von TCP-Paketen als das konfigurierte Warteschlangenlimit erhalten hat. Weitere Informationen finden Sie unter TCP-Konfiguration.

Segment-Smack-Angriff

Als Administrator sind keine weiteren Maßnahmen erforderlich, da die NetScaler ADC-Instanz diesen Angriff abschwächt, indem alle diese überschüssigen TCP-Pakete gelöscht werden.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene NetScaler ADC-Instanz

  • Die Grafik, in der die Einzelheiten der Verstöße angegeben sind Zeigen Sie mit der Maus auf das Balkendiagramm, um die Gesamtzahl der erkannten fehlerhaften Clientverbindungen anzuzeigen.

  • Die Erkennungsmeldung für den Verstoß, die darauf hinweist, dass die gesamten Clientverbindungen unterbrochen wurden.

    Segment-Smack-Angriff1

SYN-Flood-Angriff

Ein SYN-Flood-Angriff ist ein Denial-of-Service-Angriff (DoS), der sich auf den Zielcomputer auswirken kann, indem Tausende von Verbindungsanfragen mit gefälschten IP-Adressen gesendet werden. Wenn sich eine NetScaler ADC-Instanz unter einem SYN Flood-Angriff befindet, versucht die Instanz, eine Verbindung für jede böswillige Anfrage zu öffnen und dann auf ein Bestätigungspaket zu warten, das niemals eintrifft.

Der SYNCOOKIE im TCP-Profil verhindert SYN-Attacken auf die NetScaler ADC Appliance. Standardmäßig ist der SYNCOOKIE auf der ADC-Instanz aktiviert. Die Möglichkeit für die NetScaler ADC-Instanz unter einem SYN-Flood-Angriff ist nur dann hoch, wenn SYNCOOKIE deaktiviert ist. Weitere Informationen finden Sie unter Layer 3—4 SYN Denial-of-Service-Schutz.

Mithilfe des SYN Flood Attack-Indikators können Sie analysieren, ob die NetScaler ADC-Instanz unter SYN-Angriff steht.

SYN Flood-Angriff

Als Administrator schlägt die empfohlene Aktion vor, dass Sie SYN COOKIE im TCP-Profil aktivieren.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von diesem Verstoß betroffen sind

  • Die Grafik, die die Details der SYN-Attack-Details an

  • Die Erkennungsmeldung, die angibt, wie oft die Anwendung insgesamt mit SYN-Angriff erkannt wird

Angriff auf kleine Fenster

Ein Small Window Attack ist ein Denial of Service (DoS) -Angriff, der sich auf den Zielcomputer auswirken kann, indem Tausende von TCP-Paketen mit einem kleineren Fenster oder einer Fenstergröße 0 gesendet werden. Die Fenstergröße 0 zeigt an, dass der Zielcomputer bis auf weiteres aufhören muss, weitere Daten zu senden. Durch das Senden von so viel wie ähnlichen Verbindungen an den Zielcomputer wird der Speicher des Zielgeräts maximal genutzt und reagiert nicht mehr.

Mithilfe des Indikators “ Small Window Attack” können Sie analysieren, ob sich die NetScaler ADC-Instanz unter dem Sock-Stress-Angriff befindet.

Angriff mit kleinem Fenster

Standardmäßig mildert die NetScaler ADC-Instanz diesen Angriff, indem sie alle derartigen TCP-Pakete für kleine Fenster fallen lässt. Daher sind als Administrator keine weiteren Maßnahmen erforderlich.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von dieser Verletzung betroffen sind.

  • Die Grafik, die die Details des Angriffs anzeigt. Bewegen Sie den Mauszeiger auf das Balkendiagramm, um die Gesamtzahl der erkannten TCP-Pakete für kleine Fenster anzuzeigen.

  • Die Erkennungsmeldung, die anzeigt, dass die gesamten TCP-Kleinfenster-Pakete verworfen wurden

Details zu Netzwerkverletzungen