Detalles de infracción de red
HTTP Lento Loris
El loris lento es un ataque de denegación de servicio que puede enviar encabezados HTTP a la aplicación de destino lo más lento posible. La aplicación de destino se ve obligada a esperar la llegada de encabezados y también puede dejar de estar rápidamente disponible para manejar solicitudes si se abren varias conexiones similares. Cuando una instancia de NetScaler recibe un gran volumen de solicitudes HTTP, el encabezado HTTP aumenta y tarda mucho tiempo en completar las solicitudes. Este proceso puede agotar los recursos del servidor de aplicaciones y provocar un ataque HTTP Slow Loris .
Utilizando el indicador HTTP Llow Loris, puede analizar las solicitudes que resultan en el ataque HTTP Lento Loris.
Las acciones recomendadas para solucionar el problema:
-
Considere ajustar la configuración de retardo de encabezado incompleto (incompHdrDelay) a un valor más pequeño.
-
De forma predeterminada, la instancia de NetScaler elimina estas solicitudes incompletas.
En Detalles del evento, puede ver:
-
La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.
-
El gráfico que indica todas las infracciones
-
El tiempo de ocurrencia de la infracción
-
El mensaje de detección que indica el total de solicitudes incompletas como ataque lento loris
Loris lentos DNS
El indicador DNS Slow Loris detecta cuándo un NetScaler recibe un gran número de solicitudes DNS que abarcan más de un paquete. Este proceso puede agotar los recursos del servidor DNS y dar lugar a un ataque Lento de Loris DNS. De forma predeterminada, la instancia de NetScaler elimina estas solicitudes de loris lentas de DNS y no se requieren más acciones para solucionar este problema.
En Detalles del evento, puede ver:
-
La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.
-
El gráfico que indica todas las infracciones
-
El tiempo de ocurrencia de la infracción
-
El mensaje de detección que indica el total de solicitudes DNS como ataque lento de loris
Entrada lenta HTTP
La publicación lenta es un ataque de denegación de servicio que puede enviar encabezados HTTP POST a una aplicación de destino. En los encabezados, los tamaños del cuerpo del mensaje se especifican correctamente, pero el cuerpo del mensaje se envía a baja velocidad. La aplicación de destino se ve obligada a esperar y también puede dejar de estar disponible rápidamente para gestionar las solicitudes si se abren varias conexiones similares.
Este proceso puede agotar los recursos del servidor de aplicaciones y dar lugar a un ataque HTTP Slow Post.
Con el indicador HTTP Slow Post, puede analizar las solicitudes que han dado lugar a un posataque lento.
La acción recomendada para solucionar este problema para habilitar y configurar el tiempo de espera de solicitud en el perfil HTTP de NetScaler. Para obtener más información, consulte Configuraciones HTTP.
En Detalles del evento, puede ver:
-
La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.
-
El gráfico que indica todas las infracciones
-
El tiempo de ocurrencia de la infracción
-
El mensaje de detección que indica el total de solicitudes POST como ataque lento de loris
Ataque de inundación NXDOMAIN
El ataque de inundación de NXDOMAIN es un ataque de denegación de servicio distribuido (DDoS) que puede tener como objetivo un servidor DNS o una instancia de NetScaler (que esté configurada como un servidor proxy DNS) y enviar un gran volumen de solicitudes no válidas o inexistentes. Este ataque puede afectar al servidor DNS o a la instancia de NetScaler y provocar que las solicitudes no reciban respuesta.
Utilizando el indicador de ataque de inundación de NXDOMAIN, puede analizar si las solicitudes resultan en un ataque NXDOMAIN.
Las acciones recomendadas para solucionar el problema:
-
Compruebe si hay un consumo de recursos inusualmente alto tanto en el servidor DNS como en el servidor proxy DNS.
-
Imponga un límite a la velocidad de solicitudes en la instancia de NetScaler
-
Aislar y bloquear direcciones IP de cliente sospechosas
-
Si la mayoría de los nombres dan como resultado NXDOMAIN, siga un patrón identificable y configure las directivas DNS para eliminar dichas solicitudes
-
Para conservar la memoria de los registros DNS originales, configure un límite para los registros negativos en la instancia NetScaler. Para obtener más información, consulte Mitigar los ataques DDoS de DNS.
En Detalles del evento, puede ver:
-
La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.
-
El gráfico que indica todas las infracciones
Ataque de desincronización HTTP
En un ataque de desincronización HTTP, una sola solicitud HTTP se interpreta como:
- Una sola solicitud al servidor front-end (servidor virtual)
- 2 solicitudes al servidor back-end
En este caso, el servidor back-end interpreta que la segunda solicitud es de un cliente diferente. La conexión entre el servidor virtual y el servidor back-end se reutiliza para diferentes solicitudes. Si la primera solicitud de cliente se procesa desde un cliente malintencionado con algunos datos maliciosos, la siguiente solicitud de cliente puede tener una solicitud personalizada. Esta actividad puede causar un ataque mediante indebidamente la combinación de dos encabezados: longitud del contenido y codificación de transferencia.
Mediante el indicador HTTP Desync Attack, puede analizar si la instancia de NetScaler podría estar bajo un ataque de desincronización HTTP debido a la presencia de:
-
Longitud de contenido y encabezados de codificación de transferencia en una única transacción HTTP
-
Múltiples encabezados de longitud de contenido con diferentes valores en una única transacción HTTP
La Acción recomendada sugiere que considere la posibilidad de eliminar transacciones HTTP no válidas.
En Detalles del evento, puede ver:
-
La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción.
-
El gráfico que indica los detalles de la infracción. Coloque el puntero del mouse sobre el gráfico de barras para ver el total de solicitudes/respuesta no válidas.
-
El mensaje de detección de la infracción, que indica el total de solicitudes/respuestas:
-
Contiene varios encabezados de longitud de contenido con diferentes valores
-
Contiene cabeceras de codificación de transferencia y longitud de contenido
-
Ataque Bleichenbacher
La instancia de NetScaler detecta si una secuencia determinada de bytes de un mensaje cifrado tiene el formato de relleno correcto al descifrar.
Con el indicador de ataque de Bleichenbacher, puede analizar si la instancia de NetScaler recibe conexiones de enlace SSL/TLS con datos cifrados erróneos.
La acción recomendada indica que no es necesaria ninguna acción adicional porque la instancia de NetScaler finaliza las conexiones de enlace y mitiga este ataque.
En Detalles del evento, puede ver:
-
La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción.
-
El gráfico que indica los detalles de la infracción. Coloque el puntero del mouse sobre el gráfico de barras para ver el total de conexiones erróneas detectadas.
-
El mensaje de detección de la infracción, que indica el total de conexiones de enlace en el servidor virtual con datos cifrados erróneos.
Ataque SegmentSmack
Un ataque SegmentSmack es un ataque de denegación de servicio (DoS), en el que el atacante puede enviar paquetes de pequeño tamaño desordenados durante una sesión TCP. Estos paquetes TCP personalizados pueden afectar a la CPU y a la memoria, y dar lugar a una denegación de servicio en la instancia de NetScaler.
Con el indicador SegmentSmack Attack, puede analizar si una instancia de NetScaler ha recibido un gran número de paquetes TCP que el límite de cola configurado. Para obtener más información, consulte Configuración de TCP.
Como administrador, no se requiere ninguna acción adicional porque la instancia de NetScaler mitiga este ataque al soltar todos los paquetes TCP sobrantes.
En Detalles del evento, puede ver:
-
La instancia de NetScaler afectada
-
El gráfico que indica los detalles de la infracción. Coloque el puntero del mouse sobre el gráfico de barras para ver el número total de conexiones de cliente defectuosas detectadas.
-
El mensaje de detección de la infracción, que indica el total de conexiones de cliente eliminadas.
SYN Ataque de inundación
Un ataque de inundación SYN es un ataque de denegación de servicio (DoS) que puede afectar al equipo de destino, enviando miles de solicitudes de conexión mediante direcciones IP falsificado. Cuando una instancia de NetScaler está bajo un ataque SYN Flood, la instancia intenta abrir una conexión para cada solicitud malintencionada y luego esperar a que un paquete de confirmación nunca llegue.
SYNCOOKIE del perfil TCP evita los ataques SYN en el dispositivo NetScaler. De forma predeterminada, la SYNCOOKIE de la instancia de NetScaler está habilitada. La posibilidad de que la instancia de NetScaler bajo un ataque de inundación SYN solo es alta cuando SYNCOOKIE
está inhabilitada. Para obtener más información, consulte Protección de denegación de servicio SYN de capa 3-4.
Con el indicador SYN Flood Attack, puede analizar si la instancia de NetScaler está bajo ataque SYN.
Como administrador, la Acción recomendada sugiere que habilite SYN COOKIE
en el perfil TCP.
En Detalles del evento, puede ver:
-
La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción
-
El gráfico que indica los detalles del ataque SYN
-
El mensaje de detección, que indica el número total de veces que se detecta la aplicación con el ataque SYN
Ataque de ventana pequeña
Un ataque de ventana pequeña es un ataque de denegación de servicio (DoS) que puede afectar al equipo de destino, enviando miles de paquetes TCP con una ventana de tamaño más pequeño o tamaño de ventana 0. El tamaño de ventana 0 indica que el equipo de destino tiene que dejar de enviar más datos hasta nuevo aviso. Al enviar conexiones similares a la máquina de destino, la memoria del equipo de destino se utiliza al máximo y deja de responder.
Con el indicador de ataque de ventana pequeña, puede analizar si la instancia de NetScaler está bajo el ataque sockstress.
De forma predeterminada, la instancia de NetScaler mitiga este ataque al soltar todos los paquetes de ventanas pequeñas de TCP. Por lo tanto, como administrador, no se requiere ninguna acción adicional.
En Detalles del evento, puede ver:
-
La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción.
-
El gráfico que indica los detalles del ataque. Coloque el puntero del mouse sobre el gráfico de barras para ver el número total de paquetes de ventanas pequeñas TCP detectados.
-
El mensaje de detección que indica el total de paquetes de ventana pequeña TCP descartados.