Slow Loris ist ein Denial-of-Service-Angriff, der HTTP-Header so langsam wie möglich an die Zielanwendung senden kann. Die Zielanwendung muss auf das Eintreffen der Header warten und kann außerdem schnell nicht mehr für die Bearbeitung von Anfragen zur Verfügung stehen, wenn mehrere ähnliche Verbindungen geöffnet werden. Wenn eine NetScaler-Instanz eine große Anzahl von HTTP-Anfragen empfängt, vergrößert sich der HTTP-Header und es dauert lange, bis die Anfragen abgeschlossen sind. Dieser Prozess kann die Ressourcen des Anwendungsservers erschöpfen und zu einem HTTP Slow Loris -Angriff führen.
Mithilfe des Indikators HTTP Slow Loris können Sie die Anfragen analysieren, die zu einem Angriff vom Typ Slow Loris geführt haben.
Die empfohlenen Maßnahmen zur Behebung des Problems:
Erwägen Sie, die Konfiguration der unvollständigen Header-Verzögerung (incompHdrDelay) auf einen kleineren Wert einzustellen.
Standardmäßig verwirft die NetScaler-Instanz diese unvollständigen Anfragen.
Unter Ereignisdetailskönnen Sie Folgendes anzeigen:
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.
Das Diagramm zeigt alle Verstöße an
Der Zeitpunkt des Auftretens der Verletzung
Die Erkennungsmeldung zeigt die Gesamtzahl der unvollständigen Anfragen als Slow Loris Angriff an
Der Indikator DNS Slow Loris erkennt, wenn ein NetScaler eine große Anzahl von DNS-Anfragen empfängt, die sich über mehr als ein Paket erstrecken. Dieser Prozess kann die Ressourcen des DNS-Servers erschöpfen und zu einem DNS Slow Loris -Angriff führen. Standardmäßig löscht die NetScaler-Instanz diese DNS Slow Loris -Anfragen und es sind keine weiteren Maßnahmen zur Behebung dieses Problems erforderlich.
Unter Ereignisdetailskönnen Sie Folgendes anzeigen:
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.
Das Diagramm zeigt alle Verstöße an
Der Zeitpunkt des Auftretens der Verletzung
Die Erkennungsmeldung zeigt die Gesamtzahl der DNS-Anfragen als Slow Loris Angriff an
Beim Slow Post handelt es sich um einen Denial-of-Service-Angriff, der HTTP-POST-Header an eine Zielanwendung senden kann. In den Headern sind die Nachrichtentextgrößen korrekt angegeben, der Nachrichtentext wird jedoch mit geringer Geschwindigkeit gesendet. Die Zielanwendung muss warten und kann außerdem schnell nicht mehr für die Bearbeitung von Anfragen zur Verfügung stehen, wenn mehrere ähnliche Verbindungen geöffnet werden.
Dieser Prozess kann die Ressourcen des Anwendungsservers erschöpfen und zu einem HTTP-Slow-Post-Angriff führen.
Mithilfe des Indikators HTTP Slow Post können Sie die Anfragen analysieren, die zu einem Slow-Post-Angriff geführt haben.
Die empfohlene Aktion zur Behebung dieses Problems besteht darin, das Anforderungstimeout im NetScaler-HTTP-Profil zu aktivieren und zu konfigurieren. Weitere Informationen finden Sie unter HTTP-Konfigurationen.
Unter Ereignisdetailskönnen Sie Folgendes anzeigen:
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.
Das Diagramm zeigt alle Verstöße an
Der Zeitpunkt des Auftretens der Verletzung
Die Erkennungsmeldung zeigt die Gesamtzahl der POST-Anfragen als Slow Loris Angriff an
NXDOMAIN Flood Attack ist ein Distributed-Denial-of-Service-Angriff (DDoS), der auf einen DNS-Server oder eine NetScaler-Instanz (die als DNS-Proxyserver konfiguriert ist) abzielen und eine große Menge nicht vorhandener oder ungültiger Anfragen senden kann. Dieser Angriff kann sich auf den DNS-Server oder die NetScaler-Instanz auswirken und zu einer Verlangsamung oder dazu führen, dass Anfragen nicht beantwortet werden.
Mithilfe des Indikators NXDOMAIN Flood Attack können Sie die Anfragen analysieren, die zu einem NXDOMAIN-Angriff geführt haben.
Die empfohlenen Maßnahmen zur Behebung des Problems:
Überprüfen Sie, ob sowohl der DNS-Server als auch der DNS-Proxyserver ungewöhnlich viel Ressourcen verbrauchen.
Erzwingen Sie eine Begrenzung der Anforderungsrate auf der NetScaler-Instanz
Isolieren und blockieren Sie verdächtige Client-IP-Adressen
Wenn die meisten Namen zu NXDOMAIN führen, folgen Sie einem erkennbaren Muster und konfigurieren Sie DNS-Richtlinien, um solche Anfragen zu verwerfen
Um Speicher für echte DNS-Einträge zu sparen, konfigurieren Sie ein Limit für negative Einträge auf der NetScaler-Instanz. Weitere Informationen finden Sie unter DNS-DDoS-Angriffe abschwächen.
Unter Ereignisdetailskönnen Sie Folgendes anzeigen:
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.
Das Diagramm zeigt alle Verstöße an
Bei einem HTTP-Desync-Angriff wird eine einzelne HTTP-Anforderung wie folgt interpretiert:
In diesem Szenario interpretiert der Back-End-Server die zweite Anfrage als von einem anderen Client stammend. Die Verbindung zwischen dem virtuellen Server und dem Back-End-Server wird für verschiedene Anfragen wiederverwendet. Wenn die erste Client-Anforderung von einem böswilligen Client mit einigen böswilligen Daten verarbeitet wird, kann die nächste Client-Anforderung eine benutzerdefinierte Anforderung enthalten. Diese Aktivität kann einen Angriff auslösen, indem die Kombination zweier Header missbraucht wird: Inhaltslänge und Übertragungskodierung.
Mithilfe des Indikators „ HTTP-Desynchronisierungsangriff “ können Sie analysieren, ob die NetScaler-Instanz möglicherweise einem HTTP-Desynchronisierungsangriff ausgesetzt ist, der aufgrund des Vorhandenseins von Folgendem aufgetreten ist:
Inhaltslänge und Übertragungscodierungsheader in einer einzelnen HTTP-Transaktion
Mehrere Content-Length-Header mit unterschiedlichen Werten in einer einzigen HTTP-Transaktion
Die empfohlene Aktion ** schlägt Ihnen vor, das Löschen ungültiger HTTP-Transaktionen in Betracht zu ziehen.
Unter Ereignisdetailskönnen Sie Folgendes anzeigen:
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von diesem Verstoß betroffen sind.
Das Diagramm zeigt die Details des Verstoßes an. Bewegen Sie den Mauszeiger über das Balkendiagramm, um die Gesamtzahl ungültiger Anfragen/Antworten anzuzeigen.
Die Erkennungsmeldung für den Verstoß mit Angabe der Gesamtzahl der Anfragen/Antworten:
Enthält mehrere Inhaltslängen-Header mit unterschiedlichen Werten
Enthält sowohl Inhaltslängen- als auch Übertragungscodierungsheader
Die NetScaler-Instanz erkennt, ob eine bestimmte Bytefolge einer verschlüsselten Nachricht bei der Entschlüsselung das richtige Auffüllformat hat.
Mithilfe des Indikators Bleichenbacher Attack können Sie analysieren, ob die NetScaler-Instanz SSL/TLS-Handshake-Verbindungen mit fehlerhaft verschlüsselten Daten empfängt.
Die empfohlene Aktion ** zeigt an, dass keine weitere Aktion erforderlich ist, da die NetScaler-Instanz die Handshake-Verbindungen beendet und diesen Angriff abschwächt.
Unter Ereignisdetailskönnen Sie Folgendes anzeigen:
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von diesem Verstoß betroffen sind.
Das Diagramm zeigt die Details des Verstoßes an. Bewegen Sie den Mauszeiger über das Balkendiagramm, um die Gesamtzahl der erkannten fehlerhaften Handshake-Verbindungen anzuzeigen.
Die Erkennungsmeldung für den Verstoß, die die Gesamtzahl der Handshake-Verbindungen auf dem virtuellen Server mit fehlerhaft verschlüsselten Daten angibt.
Ein Segment Smack Attack ist ein Denial of Service (DoS)-Angriff, bei dem der Angreifer während einer TCP-Sitzung ungeordnete kleine Pakete senden kann. Diese angepassten TCP-Pakete können sich auf die CPU und den Speicher auswirken und zu einer Dienstverweigerung auf der NetScaler-Instanz führen.
Mithilfe des Indikators Segment Smack Attack können Sie analysieren, ob eine NetScaler-Instanz eine größere Anzahl von TCP-Paketen empfangen hat als das konfigurierte Warteschlangenlimit. Weitere Informationen finden Sie unter TCP-Konfiguration.
Als Administrator sind keine weiteren Maßnahmen erforderlich, da die NetScaler-Instanz diesen Angriff abschwächt, indem sie alle überzähligen TCP-Pakete verwirft.
Unter Ereignisdetailskönnen Sie Folgendes anzeigen:
Die betroffene NetScaler-Instanz
Das Diagramm zeigt die Details des Verstoßes an. Bewegen Sie den Mauszeiger über das Balkendiagramm, um die Gesamtzahl der erkannten fehlerhaften Clientverbindungen anzuzeigen.
Die Erkennungsmeldung für den Verstoß, die die Gesamtzahl der abgebrochenen Clientverbindungen angibt.
Ein SYN-Flood-Angriff ist ein Denial-of-Service-Angriff (DoS), der den Zielcomputer beeinträchtigen kann, indem Tausende von Verbindungsanfragen unter Verwendung gefälschter IP-Adressen gesendet werden. Wenn eine NetScaler-Instanz einem SYN-Flood-Angriff ausgesetzt ist, versucht die Instanz, für jede bösartige Anfrage eine Verbindung zu öffnen und wartet dann auf ein Bestätigungspaket, das nie eintrifft.
Das SYNCOOKIE im TCP-Profil verhindert SYN-Angriffe auf das NetScaler-Gerät. Standardmäßig ist SYNCOOKIE auf der NetScaler-Instanz aktiviert. Die Wahrscheinlichkeit, dass die NetScaler-Instanz einem SYN-Flood-Angriff ausgesetzt ist, ist nur dann hoch, wenn SYNCOOKIE deaktiviert ist.
Mithilfe des Indikators SYN Flood Attack können Sie analysieren, ob die NetScaler-Instanz einem SYN-Angriff ausgesetzt ist.
Als Administrator empfiehlt Ihnen die Empfohlene Aktion , SYN COOKIE im TCP-Profil zu aktivieren.
Unter Ereignisdetailskönnen Sie Folgendes anzeigen:
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von diesem Verstoß betroffen sind
Das Diagramm zeigt die Details des SYN-Angriffs
Die Erkennungsmeldung, die angibt, wie oft die Anwendung insgesamt mit einem SYN-Angriff erkannt wurde.
Ein Small Window Attack ist ein Denial of Service (DoS)-Angriff, der den Zielcomputer beeinträchtigen kann, indem Tausende von TCP-Paketen mit entweder kleinerer Fenstergröße oder Fenstergröße 0 gesendet werden. Die Fenstergröße 0 gibt an, dass die Zielmaschine bis auf Weiteres keine weiteren Daten senden darf. Durch das Senden möglichst vieler ähnlicher Verbindungen an die Zielmaschine wird der Speicher der Zielmaschine maximal genutzt und reagiert nicht mehr.
Mithilfe des Indikators „ Small Window Attack “ können Sie analysieren, ob die NetScaler-Instanz einem Sockstress-Angriff ausgesetzt ist.
Standardmäßig schwächt die NetScaler-Instanz diesen Angriff ab, indem sie alle derartigen TCP-Small-Window-Pakete verwirft. Daher sind als Administrator keine weiteren Maßnahmen erforderlich.
Unter Ereignisdetailskönnen Sie Folgendes anzeigen:
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von diesem Verstoß betroffen sind.
Das Diagramm zeigt die Angriffsdetails. Bewegen Sie den Mauszeiger über das Balkendiagramm, um die Gesamtzahl der erkannten TCP-Small-Window-Pakete anzuzeigen.
Die Erkennungsmeldung gibt die Gesamtzahl der verlorenen TCP-Small-Window-Pakete an.