Application Delivery Management

Detalles de infracción de red

HTTP Lento Loris

Loris lento es un ataque de denegación de servicio que puede enviar encabezados HTTP a la aplicación de destino lo más lento posible. La aplicación de destino se ve obligada a esperar la llegada de encabezados y también puede dejar de estar rápidamente disponible para manejar solicitudes si se abren varias conexiones similares. Cuando una instancia de NetScaler recibe un gran volumen de solicitudes HTTP, el encabezado HTTP aumenta y tarda mucho tiempo en completar las solicitudes. Este proceso puede agotar los recursos del servidor de aplicaciones y provocar un ataque HTTP Slow Loris .

Mediante el indicador HTTP Lento Loris, puede analizar las solicitudes que resultan en el ataque Lento Loris.

Attack

Las acciones recomendadas para solucionar el problema:

  • Considere ajustar la configuración de retardo de encabezado incompleto (incompHdrDelay) a un valor más pequeño.

  • De forma predeterminada, la instancia de NetScaler elimina estas solicitudes incompletas.

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las infracciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección que indica el total de solicitudes incompletas como ataque Lento Loris

Loris lentos DNS

El indicador Slow Loris de DNS detecta cuándo un NetScaler recibe un gran número de solicitudes DNS que abarcan más de un paquete. Este proceso puede agotar los recursos del servidor DNS y dar lugar a un ataque Lento de Loris DNS. De forma predeterminada, la instancia de NetScaler elimina estas solicitudes de DNS Slow Loris y no es necesario realizar ninguna otra acción para solucionar este problema.

Ataque DNS

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las infracciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección que indica el total de solicitudes DNS como ataque Lento Loris

Entrada lenta HTTP

La publicación lenta es un ataque de denegación de servicio que puede enviar encabezados HTTP POST a una aplicación de destino. En los encabezados, los tamaños del cuerpo del mensaje se especifican correctamente, pero el cuerpo del mensaje se envía a baja velocidad. La aplicación de destino se ve obligada a esperar y también puede dejar de estar disponible rápidamente para gestionar las solicitudes si se abren varias conexiones similares.

Este proceso puede agotar los recursos del servidor de aplicaciones y dar lugar a un ataque HTTP Slow Post.

Con el indicador HTTP Slow Post, puede analizar las solicitudes que han dado lugar a un posataque lento.

Publicación lenta de HTTP

La acción recomendada para solucionar este problema para habilitar y configurar el tiempo de espera de solicitud en el perfil HTTP de NetScaler. Para obtener más información, consulte Configuraciones HTTP.

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las infracciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección que indica el total de solicitudes POST como ataque Lento Loris

Ataque de inundación NXDOMAIN

El ataque de inundación de NXDOMAIN es un ataque de denegación de servicio distribuido (DDoS) que puede dirigirse a un servidor DNS o a una instancia de ADC (configurada como servidor proxy DNS) y enviar un gran volumen de solicitudes no existentes o no válidas. Este ataque puede afectar al servidor DNS o la instancia ADC, lo que provoca ralentización o solicitudes que no reciben respuesta.

Mediante el indicador de ataque de inundación de NXDOMAIN, puede analizar las solicitudes que resultan en un ataque NXDOMAIN.

NXDOMAIN

Las acciones recomendadas para solucionar el problema:

  • Compruebe si hay un consumo de recursos inusualmente alto tanto en el servidor DNS como en el servidor proxy DNS.

  • Imponga un límite a la velocidad de solicitudes en la instancia de NetScaler

  • Aislar y bloquear direcciones IP de cliente sospechosas

  • Si la mayoría de los nombres dan como resultado NXDOMAIN, siga un patrón identificable y configure las directivas DNS para eliminar dichas solicitudes

  • Para conservar la memoria de los registros DNS originales, configure un límite para los registros negativos en la instancia NetScaler. Para obtener más información, consulte Mitigar los ataques DDoS de DNS.

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las infracciones

Ataque de desincronización HTTP

En un ataque de desincronización HTTP, una sola solicitud HTTP se interpreta como:

  • Una sola solicitud al servidor front-end (servidor virtual)
  • 2 solicitudes al servidor back-end

En este caso, el servidor back-end interpreta que la segunda solicitud es de un cliente diferente. La conexión entre el servidor virtual y el servidor back-end se reutiliza para diferentes solicitudes. Si la primera solicitud de cliente se procesa desde un cliente malintencionado con algunos datos maliciosos, la siguiente solicitud de cliente puede tener una solicitud personalizada. Esta actividad puede causar un ataque mediante indebidamente la combinación de dos encabezados: longitud del contenido y codificación de transferencia.

Mediante el indicador HTTP Desync Attack, puede analizar si la instancia de NetScaler podría estar bajo un ataque de desincronización HTTP debido a la presencia de:

  • Longitud de contenido y encabezados de codificación de transferencia en una única transacción HTTP

  • Múltiples encabezados de longitud de contenido con diferentes valores en una única transacción HTTP

    Ataque de desincronización HTTP

La Acción recomendada sugiere que considere la posibilidad de eliminar transacciones HTTP no válidas.

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción.

  • El gráfico que indica los detalles de la infracción. Coloque el puntero del mouse sobre el gráfico de barras para ver el total de solicitudes/respuesta no válidas.

  • El mensaje de detección de la infracción, que indica el total de solicitudes/respuestas:

    • Contiene varios encabezados de longitud de contenido con diferentes valores

    • Contiene cabeceras de codificación de transferencia y longitud de contenido

Ataque Bleichenbacher

La instancia de NetScaler detecta si una secuencia determinada de bytes de un mensaje cifrado tiene el formato de relleno correcto al descifrar.

Con el indicador de ataque de Bleichenbacher, puede analizar si la instancia de NetScaler recibe conexiones de enlace SSL/TLS con datos cifrados erróneos.

Bleichenbacher

La acción recomendada indica que no es necesaria ninguna acción adicional porque la instancia de NetScaler finaliza las conexiones de enlace y mitiga este ataque.

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción.

  • El gráfico que indica los detalles de la infracción. Coloque el puntero del mouse sobre el gráfico de barras para ver el total de conexiones erróneas detectadas.

  • El mensaje de detección de la infracción, que indica el total de conexiones de enlace en el servidor virtual con datos cifrados erróneos.

Ataque SegmentSmack

Un ataque SegmentSmack es un ataque de denegación de servicio (DoS), en el que el atacante puede enviar paquetes de pequeño tamaño desordenados durante una sesión TCP. Estos paquetes TCP personalizados pueden afectar a la CPU y a la memoria, y dar lugar a una denegación de servicio en la instancia de NetScaler.

Con el indicador SegmentSmack Attack, puede analizar si una instancia de NetScaler ha recibido un gran número de paquetes TCP que el límite de cola configurado. Para obtener más información, consulte Configuración de TCP.

Ataque SegmentSmack

Como administrador, no se requiere ninguna acción adicional porque la instancia de NetScaler mitiga este ataque al soltar todos los paquetes TCP sobrantes.

En Detalles del evento, puede ver:

  • La instancia de NetScaler afectada

  • El gráfico que indica los detalles de la infracción. Coloque el puntero del mouse sobre el gráfico de barras para ver el número total de conexiones de cliente defectuosas detectadas.

  • El mensaje de detección de la infracción, que indica el total de conexiones de cliente eliminadas.

    Ataque SegmentSmack 1

SYN Ataque de inundación

Un ataque de inundación SYN es un ataque de denegación de servicio (DoS) que puede afectar al equipo de destino, enviando miles de solicitudes de conexión mediante direcciones IP falsificado. Cuando una instancia de NetScaler está bajo un ataque SYN Flood, la instancia intenta abrir una conexión para cada solicitud malintencionada y luego esperar a que un paquete de confirmación nunca llegue.

SYNCOOKIE del perfil TCP evita los ataques SYN en el dispositivo NetScaler. De forma predeterminada, la SYNCOOKIE en la instancia ADC está habilitada. La posibilidad de que la instancia de NetScaler bajo un ataque de inundación SYN es alta solo cuando SYNCOOKIE está inhabilitado. Para obtener más información, consulte Protección de denegación de servicio SYN de capa 3-4.

Con el indicador SYN Flood Attack, puede analizar si la instancia de NetScaler está bajo ataque SYN.

Ataque de inundación SYN

Como administrador, la Acción recomendada sugiere que habilite SYN COOKIE en el perfil TCP.

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción

  • El gráfico que indica los detalles del ataque SYN

  • El mensaje de detección, que indica el número total de veces que la aplicación se detecta con el ataque SYN

Ataque de ventana pequeña

Un ataque de ventana pequeña es un ataque de denegación de servicio (DoS) que puede afectar al equipo de destino, enviando miles de paquetes TCP con una ventana de tamaño más pequeño o tamaño de ventana 0. El tamaño de ventana 0 indica que el equipo de destino tiene que dejar de enviar más datos hasta nuevo aviso. Al enviar conexiones similares a la máquina de destino, la memoria del equipo de destino se utiliza al máximo y deja de responder.

Con el indicador de ataque de ventana pequeña, puede analizar si la instancia de NetScaler está bajo el ataque sockstress.

Ataque de ventana pequeña

De forma predeterminada, la instancia de NetScaler mitiga este ataque al soltar todos los paquetes de ventanas pequeñas de TCP. Por lo tanto, como administrador, no se requiere ninguna acción adicional.

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción.

  • El gráfico que indica los detalles del ataque. Coloque el puntero del mouse sobre el gráfico de barras para ver el número total de paquetes de ventanas pequeñas TCP detectados.

  • El mensaje de detección que indica el total de paquetes de ventana pequeña TCP descartados.

Detalles de infracción de red