Détails de la violation du réseau
HTTP lent Loris
Slow Loris est une attaque par déni de service qui peut envoyer des en-têtes HTTP à l’application cible aussi lente que possible. L’application cible est forcée d’attendre l’arrivée des en-têtes et peut également devenir rapidement indisponible pour traiter les demandes si plusieurs connexions similaires sont ouvertes. Lorsqu’une instance NetScaler reçoit un volume élevé de requêtes HTTP, l’en-tête HTTP augmente et le traitement des demandes prend beaucoup de temps. Ce processus peut épuiser les ressources du serveur d’applications et provoquer une attaque HTTP Slow Loris .
À l’aide de l’indicateur HTTP Slow Loris, vous pouvez analyser les requêtes résultant d’une attaque Lente Loris.
Les actions recommandées pour résoudre le problème :
-
Envisagez de régler la configuration du délai d’en-tête incomplet (IncompHdrDelay) sur une valeur plus petite.
-
Par défaut, l’instance NetScaler supprime ces demandes incomplètes.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Graphique indiquant toutes les violations
-
L’heure d’occurrence de la violation
-
Le message de détection indiquant le nombre total de demandes incomplètes comme attaque Lente de Loris
DNS Lent Loris
L’indicateur DNS Slow Loris détecte lorsqu’un NetScaler reçoit un nombre élevé de requêtes DNS couvrant plus d’un paquet. Ce processus peut épuiser les ressources du serveur DNS et entraîner une attaque DNS Lente Loris. Par défaut, l’instance NetScaler supprime ces requêtes DNS Slow Loris et aucune autre action n’est requise pour résoudre ce problème.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Graphique indiquant toutes les violations
-
L’heure d’occurrence de la violation
-
Message de détection indiquant le nombre total de requêtes DNS comme attaque Lente Loris
Publication lente HTTP
La publication lente est une attaque par déni de service qui peut envoyer des en-têtes HTTP POST à une application cible. Dans les en-têtes, les tailles du corps du message sont spécifiées correctement, mais le corps du message est envoyé à faible vitesse. L’application cible est obligée d’attendre et peut également devenir rapidement indisponible pour traiter les demandes si plusieurs connexions similaires sont ouvertes.
Ce processus peut épuiser les ressources du serveur d’applications et entraîner une attaque HTTP Slow Post.
À l’aide de l’indicateur HTTP Slow Post, vous pouvez analyser les requêtes qui ont entraîné une attaque de slow post.
L’ action recommandée pour résoudre ce problème consiste à activer et à configurer le délai de demande dans le profil HTTP NetScaler. Pour plus d’informations, consultez Configurations HTTP.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Graphique indiquant toutes les violations
-
L’heure d’occurrence de la violation
-
Le message de détection indiquant le nombre total de requêtes POST comme attaque Lente Loris
Attaque par saturation NXDOMAIN
L’attaque par saturation NXDOMAIN est une attaque par déni de service distribué (DDoS) qui peut cibler un serveur DNS ou une instance ADC (configurée en tant que serveur proxy DNS) et envoyer un volume élevé de requêtes incorrectes ou incorrectes. Cette attaque peut avoir un impact sur le serveur DNS ou l’instance ADC, ce qui entraîne un ralentissement ou des requêtes ne recevant pas de réponse.
À l’aide de l’indicateur d’attaque par saturation NXDOMAIN, vous pouvez analyser les demandes résultant d’une attaque NXDOMAIN.
Les actions recommandées pour résoudre le problème :
-
Vérifiez la consommation de ressources anormalement élevée à la fois sur le serveur DNS et sur le serveur proxy DNS.
-
Appliquer une limite pour le taux de demandes sur l’instance NetScaler
-
Isoler et bloquer les adresses IP des clients suspects
-
Si la plupart des noms aboutissent à NXDOMAIN, suivez un modèle identifiable et configurez les stratégies DNS pour supprimer ces requêtes
-
Pour économiser de la mémoire pour les enregistrements DNS authentiques, configurez une limite pour les enregistrements négatifs sur l’instance NetScaler. Pour plus d’informations, consultez Atténuer les attaques DDoS DNS.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Graphique indiquant toutes les violations
Attaque HTTP Desync
Dans une attaque de désynchronisation HTTP, une seule requête HTTP est interprétée comme suit :
- Une seule requête au serveur frontal (serveur virtuel)
- 2 requêtes au serveur back-end
Dans ce scénario, le serveur principal interprète la deuxième requête provient d’un client différent. La connexion entre le serveur virtuel et le serveur principal est réutilisée pour différentes requêtes. Si la première demande client est traitée à partir d’un client malveillant avec des données malveillantes, la demande client suivante peut avoir une demande personnalisée. Cette activité peut provoquer une attaque en utilisant à mauvais escient la combinaison de deux en-têtes : longueur du contenu et encodage de transfert.
À l’aide de l’indicateur d’ attaque de désynchronisation HTTP, vous pouvez analyser si l’instance NetScaler est susceptible de faire l’objet d’une attaque de désynchronisation HTTP qui s’est produite en raison de la présence de :
-
En-têtes de codage de la longueur du contenu et du transfert dans une seule transaction HTTP
-
Plusieurs en-têtes de longueur de contenu avec des valeurs différentes dans une seule transaction HTTP
L’ action recommandée vous suggère d’ envisager de laisser tomber les transactions HTTP non valides.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.
-
Graphique indiquant les détails de la violation. Placez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de requêtes/réponses non valides.
-
Message de détection de la violation, indiquant le nombre total de demandes/réponses :
-
Contenant plusieurs en-têtes de longueur de contenu avec des valeurs différentes
-
Contenant à la fois la longueur du contenu et les en-têtes de codage de transfert
-
Attaque de Bleichenbacher
L’instance NetScaler détecte si une séquence donnée d’octets d’un message crypté possède le bon format de remplissage lors du déchiffrement.
À l’aide de l’indicateur d’ attaque Bleichenbacher, vous pouvez analyser si l’instance NetScaler reçoit des connexions SSL/TLS contenant des données cryptées erronées.
L’ action recommandée indique qu’aucune autre action n’est requise car l’instance NetScaler met fin aux connexions handshake et atténue cette attaque.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.
-
Graphique indiquant les détails de la violation. Placez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de connexions erronées détectées.
-
Message de détection de la violation, indiquant le nombre total de connexions de connexion sur le serveur virtuel avec des données chiffrées erronées.
Segment Smack Attaque
Une attaque Smack par segment est une attaque par déni de service (DoS), dans laquelle l’attaquant peut envoyer des paquets de petite taille non ordonnés au cours d’une session TCP. Ces paquets TCP personnalisés peuvent affecter le processeur et la mémoire et entraîner un déni de service sur l’instance NetScaler.
À l’aide de l’indicateur Segment Smack Attack, vous pouvez analyser si une instance de NetScaler a reçu un nombre de paquets TCP supérieur à la limite de file d’attente configurée. Pour plus d’informations, consultez la section Configuration TCP.
En tant qu’administrateur, aucune autre action n’est requise car l’instance NetScaler atténue cette attaque en supprimant tous les paquets TCP excédentaires.
Sous Détails de l’événement, vous pouvez afficher :
-
L’instance NetScaler affectée
-
Graphique indiquant les détails de la violation. Placez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de connexions client incorrectes détectées.
-
Message de détection de la violation, indiquant le nombre total de connexions client supprimées.
Attaque par saturation SYN
Une attaque par saturation SYN est une attaque par déni de service (DoS) qui peut affecter la machine cible, en envoyant des milliers de demandes de connexion à l’aide d’adresses IP usurpées. Lorsqu’une instance NetScaler fait l’objet d’une attaque SYN Flood, elle tente d’ouvrir une connexion pour chaque demande malveillante, puis attend un accusé de réception qui n’arrive jamais.
Le SYNCOOKIE du profil TCP empêche les attaques SYN sur l’appliance NetScaler. Par défaut, le SYNCOOKIE sur l’instance ADC est activé. Le risque que l’instance NetScaler subisse une attaque SYN flood est élevé uniquement lorsque SYNCOOKIE est désactivé. Pour plus d’informations, reportez-vous à la section Protection contre le déni de service SYN des couches 3 et 4.
À l’aide de l’indicateur SYN Flood Attack, vous pouvez analyser si l’instance NetScaler fait l’objet d’une attaque SYN.
En tant qu’administrateur, l’ action recommandée vous suggère d’ activer SYN COOKIE dans le profil TCP.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation
-
Graphique indiquant les détails de l’attaque SYN
-
Le message de détection indiquant le nombre total de fois que l’application est détectée lors d’une attaque SYN
Attaque de petite fenêtre
Une attaque de petite fenêtre est une attaque par déni de service (DoS) qui peut affecter la machine cible, en envoyant des milliers de paquets TCP avec une fenêtre de taille inférieure ou une taille de fenêtre 0. La taille de la fenêtre 0 indique que la machine cible doit cesser d’envoyer d’autres données jusqu’à nouvel ordre. En envoyant autant que des connexions similaires à la machine cible, la mémoire de la machine cible est utilisée au maximum et ne répond plus.
À l’aide de l’indicateur Small Window Attack, vous pouvez analyser si l’instance NetScaler fait l’objet d’une attaque sockstress.
Par défaut, l’instance NetScaler atténue cette attaque en supprimant tous ces petits paquets TCP pour fenêtres. Par conséquent, en tant qu’administrateur, aucune autre action n’est requise.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.
-
Graphique indiquant les détails de l’attaque. Placez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de paquets TCP de petites fenêtres détectés.
-
Message de détection indiquant le nombre total de paquets de petites fenêtres TCP supprimés.