Details zu Netzwerkverletzungen
HTTP Slow Loris
Slow Loris ist ein Denial-of-Service-Angriff, der HTTP-Header so langsam wie möglich an die Zielanwendung senden kann. Die Zielanwendung ist gezwungen, auf die Ankunft von Headern zu warten und kann auch schnell nicht mehr verfügbar sein, um Anfragen zu bearbeiten, wenn mehrere ähnliche Verbindungen geöffnet werden. Wenn eine NetScaler-Instanz eine hohe Anzahl von HTTP-Anforderungen empfängt, erhöht sich der HTTP-Header und benötigt lange Zeit, um die Anforderungen abzuschließen. Dieser Prozess kann die Ressourcen des Anwendungsservers erschöpfen und zu einem HTTP Slow Loris-Angriff führen.
Mit dem HTTP Slow Loris Indikator können Sie die Anforderungen analysieren, die zu einem langsamen Loris-Attacke führen.
Die empfohlenen Aktionen zur Behebung des Problems:
-
Erwägen Sie, die unvollständige Header Delay (incompHdrDelay) -Konfiguration auf einen kleineren Wert einzustellen.
-
Standardmäßig löscht die NetScaler-Instanz diese unvollständigen Anforderungen.
Unter Ereignisdetails können Sie Folgendes anzeigen:
-
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.
-
Die Grafik zeigt alle Verstöße
-
Zeitpunkt des Auftretens des Verstoßes
-
Die Erkennungsmeldung, die die insgesamt unvollständigen Anfragen als Slow Loris Angriff angibt
DNS Slow Loris
Der DNS-Slow-Loris Indikator erkennt, wenn ein NetScaler eine hohe Anzahl von DNS-Anfragen erhält, die mehr als ein Paket umfassen. Dieser Prozess kann DNS-Serverressourcen ausschöpfen und zu DNS-Slow-Loris Angriffen führen. Standardmäßig löscht die NetScaler-Instanz diese DNS-Slow-Loris-Anfragen, und es sind keine weiteren Maßnahmen erforderlich, um dieses Problem zu beheben.
Unter Ereignisdetails können Sie Folgendes anzeigen:
-
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.
-
Die Grafik zeigt alle Verstöße
-
Zeitpunkt des Auftretens des Verstoßes
-
Die Erkennungsmeldung, die die gesamten DNS-Anfragen als langsamen Loris-Angriff anzeigt
Langsame HTTP-Post
Der Slow Post ist ein Denial-of-Service-Angriff, der HTTP-POST-Header an eine Zielanwendung senden kann. In den Headern sind die Textnachrichtengrößen korrekt angegeben, der Nachrichtentext wird jedoch mit einer niedrigen Geschwindigkeit gesendet. Die Zielanwendung muss warten und kann auch schnell nicht mehr verfügbar sein, um Anfragen zu bearbeiten, wenn mehrere ähnliche Verbindungen geöffnet werden.
Dieser Prozess kann Anwendungsserver-Ressourcen ausschöpfen und zu einem HTTP Slow Post-Angriff führen.
Mit dem Indikator HTTP Slow Post können Sie die Anforderungen analysieren, die zu einem langsamen Nachangriff geführt haben.
Die empfohlene Aktion zur Behebung dieses Problems zum Aktivieren und Konfigurieren von Request Timeout im NetScaler HTTP-Profil. Weitere Informationen finden Sie unter HTTP-Konfigurationen.
Unter Ereignisdetails können Sie Folgendes anzeigen:
-
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.
-
Die Grafik zeigt alle Verstöße
-
Zeitpunkt des Auftretens des Verstoßes
-
Die Erkennungsmeldung, die die Gesamtzahl der POST-Anfragen als langsamen Loris-Angriff
NXDOMAIN Flood-Angriff
NXDOMAIN Flood Attack ist ein Distributed Denial-of-Service-Angriff (DDoS), der auf einen DNS-Server oder eine ADC-Instanz (die als DNS-Proxyserver konfiguriert ist) abzielen und ein hohes Volumen an Nicht-Existenz- oder ungültigen Anfragen senden kann. Dieser Angriff kann sich auf den DNS-Server oder die ADC-Instanz auswirken, was zu einer Verlangsamung oder Anfragen führt, die keine Antwort erhalten.
Mithilfe des NXDOMAIN Flood Attack-Indikators können Sie die Anforderungen analysieren, die zu einem NXDOMAIN-Angriff geführt werden.
Die empfohlenen Aktionen zur Behebung des Problems:
-
Überprüfen Sie auf ungewöhnlich hohen Ressourcenverbrauch sowohl auf DNS-Server als auch auf DNS-Proxyserver.
-
Erzwingen eines Limit für die Anforderungsrate in der NetScaler-Instanz
-
Isolieren und Blockieren verdächtiger Client-IP-Adressen
-
Wenn die meisten Namen zu NXDOMAIN führen, folgen Sie einem identifizierbaren Muster und konfigurieren Sie DNS-Richtlinien, um solche Anfragen zu löschen
-
Um Speicher für echte DNS-Einträge zu sparen, konfigurieren Sie ein Limit für negative Datensätze in der NetScaler-Instanz. Weitere Informationen finden Sie unter Abwehr von DNS-DDoS-Angriffen.
Unter Ereignisdetails können Sie Folgendes anzeigen:
-
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.
-
Die Grafik zeigt alle Verstöße
HTTP-Desync-Angriff
Bei einem HTTP-Desync-Angriff wird eine einzelne HTTP-Anfrage wie folgt interpretiert:
- Eine einzelne Anfrage an den Front-End-Server (virtueller Server)
- 2 Anfragen an den Back-End-Server
In diesem Szenario interpretiert der Back-End-Server, dass die zweite Anfrage von einem anderen Client stammt. Die Verbindung zwischen dem virtuellen Server und dem Back-End-Server wird für verschiedene Anfragen wiederverwendet. Wenn die erste Clientanfrage von einem böswilligen Client mit einigen bösartigen Daten verarbeitet wird, kann die nächste Clientanfrage eine benutzerdefinierte Anfrage haben. Diese Aktivität kann einen Angriff verursachen, indem die Kombination von zwei Headern missbraucht wird: Länge des Inhalts und der Übertragungscodierung.
Mithilfe des HTTP Desync Attack-Indikators können Sie analysieren, ob die NetScaler-Instanz möglicherweise HTTP-Desync-Angriffen ausgesetzt ist, der aufgrund des Vorhandenseins von:
-
Inhaltslänge und Übertragungscodierungs-Header in einer einzigen HTTP-Transaktion
-
Mehrere Content-Längen-Header mit unterschiedlichen Werten in einer einzelnen HTTP-Transaktion
Die empfohlene Aktion schlägt vor, dass Sie erwägen, ungültige HTTP-Transaktionen abzulegen.
Unter Ereignisdetails können Sie Folgendes anzeigen:
-
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von dieser Verletzung betroffen sind.
-
Die Grafik, in der die Einzelheiten der Verstöße angegeben sind Bewegen Sie den Mauszeiger auf das Balkendiagramm, um die insgesamt ungültigen Anforderungen/-antworte anzuzeigen.
-
Die Erkennungsmeldung für den Verstoß, die die Gesamtanfragen/Antworten angibt:
-
Enthält mehrere Content-Längen-Header mit unterschiedlichen Werten
-
Enthält sowohl Header für Inhaltslänge als auch mit Übertragungscodierung
-
Bleichenbacher Angriff
Die NetScaler-Instanz erkennt, ob eine bestimmte Bytefolge einer verschlüsselten Nachricht bei der Entschlüsselung das richtige Auffüllformat aufweist.
Mithilfe des Bleichenbacher Attack-Indikators können Sie analysieren, ob die NetScaler-Instanz SSL/TLS-Handshake-Verbindungen mit fehlerhaften verschlüsselten Daten erhält.
Die empfohlene Aktion zeigt an, dass keine weiteren Maßnahmen erforderlich sind, da die NetScaler-Instanz die Handshake-Verbindungen beendet und diesen Angriff abwehrt.
Unter Ereignisdetails können Sie Folgendes anzeigen:
-
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von dieser Verletzung betroffen sind.
-
Die Grafik, in der die Einzelheiten der Verstöße angegeben sind Bewegen Sie den Mauszeiger auf das Balkendiagramm, um die insgesamt erkannten fehlerhaften Handshake-Verbindungen anzuzeigen.
-
Die Erkennungsmeldung für den Verstoß, die die gesamten Handshake-Verbindungen auf dem virtuellen Server mit fehlerhaften verschlüsselten Daten angibt.
Segment-Smack-Angriff
Ein Segment Smack-Angriff ist ein Denial-of-Service-Angriff (DoS), bei dem der Angreifer während einer TCP-Sitzung ungeordnete kleine Pakete senden kann. Diese angepassten TCP-Pakete können sich auf die CPU und den Arbeitsspeicher auswirken und zu einem Denial-of-Service auf der NetScaler-Instanz führen.
Mithilfe des Indikators “ Segment Smack Attack “ können Sie analysieren, ob eine NetScaler-Instanz eine große Anzahl von TCP-Paketen als das konfigurierte Warteschlangenlimit erhalten hat. Weitere Informationen finden Sie unter TCP-Konfiguration.
Als Administrator sind keine weiteren Maßnahmen erforderlich, da die NetScaler-Instanz diesen Angriff abschwächt, indem alle diese überschüssigen TCP-Pakete gelöscht werden.
Unter Ereignisdetails können Sie Folgendes anzeigen:
-
Die betroffene NetScaler-Instanz
-
Die Grafik, in der die Einzelheiten der Verstöße angegeben sind Zeigen Sie mit der Maus auf das Balkendiagramm, um die Gesamtzahl der erkannten fehlerhaften Clientverbindungen anzuzeigen.
-
Die Erkennungsmeldung für den Verstoß, die darauf hinweist, dass die gesamten Clientverbindungen unterbrochen wurden.
SYN-Flood-Angriff
Ein SYN-Flood-Angriff ist ein Denial-of-Service-Angriff (DoS), der sich auf den Zielcomputer auswirken kann, indem Tausende von Verbindungsanfragen mit gefälschten IP-Adressen gesendet werden. Wenn sich eine NetScaler-Instanz unter einem SYN Flood-Angriff befindet, versucht die Instanz, eine Verbindung für jede böswillige Anfrage zu öffnen und dann auf ein Bestätigungspaket zu warten, das niemals eintrifft.
Der SYNCOOKIE im TCP-Profil verhindert SYN-Attacken auf die NetScaler Appliance. Standardmäßig ist der SYNCOOKIE auf der ADC-Instanz aktiviert. Die Möglichkeit für die NetScaler-Instanz unter einem SYN-Flood-Angriff ist nur dann hoch, wenn SYNCOOKIE deaktiviert ist. Weitere Informationen finden Sie unter Layer 3—4 SYN Denial-of-Service-Schutz.
Mithilfe des SYN Flood Attack-Indikators können Sie analysieren, ob die NetScaler-Instanz unter SYN-Angriff steht.
Als Administrator schlägt die empfohlene Aktion vor, dass Sie SYN COOKIE im TCP-Profil aktivieren.
Unter Ereignisdetails können Sie Folgendes anzeigen:
-
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von diesem Verstoß betroffen sind
-
Die Grafik, die die Details der SYN-Attack-Details an
-
Die Erkennungsmeldung, die angibt, wie oft die Anwendung insgesamt mit SYN-Angriff erkannt wird
Angriff auf kleine Fenster
Ein Small Window Attack ist ein Denial of Service (DoS) -Angriff, der sich auf den Zielcomputer auswirken kann, indem Tausende von TCP-Paketen mit einem kleineren Fenster oder einer Fenstergröße 0 gesendet werden. Die Fenstergröße 0 zeigt an, dass der Zielcomputer bis auf weiteres aufhören muss, weitere Daten zu senden. Durch das Senden von so viel wie ähnlichen Verbindungen an den Zielcomputer wird der Speicher des Zielgeräts maximal genutzt und reagiert nicht mehr.
Mithilfe des Indikators “ Small Window Attack” können Sie analysieren, ob sich die NetScaler-Instanz unter dem Sock-Stress-Angriff befindet.
Standardmäßig mildert die NetScaler-Instanz diesen Angriff, indem sie alle derartigen TCP-Pakete für kleine Fenster fallen lässt. Daher sind als Administrator keine weiteren Maßnahmen erforderlich.
Unter Ereignisdetails können Sie Folgendes anzeigen:
-
Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von dieser Verletzung betroffen sind.
-
Die Grafik, die die Details des Angriffs anzeigt. Bewegen Sie den Mauszeiger auf das Balkendiagramm, um die Gesamtzahl der erkannten TCP-Pakete für kleine Fenster anzuzeigen.
-
Die Erkennungsmeldung, die anzeigt, dass die gesamten TCP-Kleinfenster-Pakete verworfen wurden