Application Delivery Management

Détails de la violation du réseau

HTTP lent Loris

Slow Loris est une attaque par déni de service qui peut envoyer des en-têtes HTTP à l’application cible aussi lente que possible. L’application cible est forcée d’attendre l’arrivée des en-têtes et peut également devenir rapidement indisponible pour traiter les demandes si plusieurs connexions similaires sont ouvertes. Lorsqu’une instance Citrix ADC reçoit un volume élevé de requêtes HTTP, l’en-tête HTTP augmente et leur traitement prend beaucoup de temps. Ce processus peut épuiser les ressources du serveur d’applications et provoquer une attaque HTTP Slow Loris .

À l’aide de l’indicateur HTTP Slow Loris, vous pouvez analyser les requêtes résultant d’une attaque Lente Loris.

Attack

Les actions recommandées pour résoudre le problème :

  • Envisagez de régler la configuration du délai d’en-tête incomplet (IncompHdrDelay) sur une valeur plus petite.

  • Par défaut, l’instance Citrix ADC supprime ces demandes incomplètes.

Sous Détails de l’événement, vous pouvez afficher :

  • L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Le message de détection indiquant le nombre total de demandes incomplètes comme attaque Lente de Loris

DNS Lent Loris

L’indicateur DNS Slow Loris détecte lorsqu’un Citrix ADC reçoit un nombre élevé de requêtes DNS couvrant plus d’un paquet. Ce processus peut épuiser les ressources du serveur DNS et entraîner une attaque DNS Lente Loris. Par défaut, l’instance Citrix ADC supprime ces requêtes DNS Slow Loris et aucune autre action n’est requise pour résoudre ce problème.

Attaque DNS

Sous Détails de l’événement, vous pouvez afficher :

  • L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection indiquant le nombre total de requêtes DNS comme attaque Lente Loris

Publication lente HTTP

La publication lente est une attaque par déni de service qui peut envoyer des en-têtes HTTP POST à une application cible. Dans les en-têtes, les tailles du corps du message sont spécifiées correctement, mais le corps du message est envoyé à faible vitesse. L’application cible est obligée d’attendre et peut également devenir rapidement indisponible pour traiter les demandes si plusieurs connexions similaires sont ouvertes.

Ce processus peut épuiser les ressources du serveur d’applications et entraîner une attaque HTTP Slow Post.

À l’aide de l’indicateur HTTP Slow Post, vous pouvez analyser les requêtes qui ont entraîné une attaque de slow post.

Publication lente via HTTP

L’action recommandée pour résoudre ce problème pour activer et configurer le délai d’expiration de la demande dans le profil HTTP Citrix ADC. Pour plus d’informations, consultez Configurations HTTP.

Sous Détails de l’événement, vous pouvez afficher :

  • L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Le message de détection indiquant le nombre total de requêtes POST comme attaque Lente Loris

Attaque par saturation NXDOMAIN

L’attaque par saturation NXDOMAIN est une attaque par déni de service distribué (DDoS) qui peut cibler un serveur DNS ou une instance ADC (configurée en tant que serveur proxy DNS) et envoyer un volume élevé de requêtes incorrectes ou incorrectes. Cette attaque peut avoir un impact sur le serveur DNS ou l’instance ADC, ce qui entraîne un ralentissement ou des requêtes ne recevant pas de réponse.

À l’aide de l’indicateur d’attaque par saturation NXDOMAIN, vous pouvez analyser les demandes résultant d’une attaque NXDOMAIN.

NXDOMAIN

Les actions recommandées pour résoudre le problème :

  • Vérifiez la consommation de ressources anormalement élevée à la fois sur le serveur DNS et sur le serveur proxy DNS.

  • Appliquer une limite de taux de demandes sur l’instance Citrix ADC

  • Isoler et bloquer les adresses IP des clients suspects

  • Si la plupart des noms aboutissent à NXDOMAIN, suivez un modèle identifiable et configurez les stratégies DNS pour supprimer ces requêtes

  • Pour conserver la mémoire pour les enregistrements DNS authentiques, configurez une limite pour les enregistrements négatifs sur l’instance Citrix ADC. Pour plus d’informations, consultez Atténuer les attaques DDoS DNS.

Sous Détails de l’événement, vous pouvez afficher :

  • L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

Attaque HTTP Desync

Dans une attaque de désynchronisation HTTP, une seule requête HTTP est interprétée comme suit :

  • Une seule requête au serveur frontal (serveur virtuel)
  • 2 requêtes au serveur back-end

Dans ce scénario, le serveur principal interprète la deuxième requête provient d’un client différent. La connexion entre le serveur virtuel et le serveur principal est réutilisée pour différentes requêtes. Si la première demande client est traitée à partir d’un client malveillant avec des données malveillantes, la demande client suivante peut avoir une demande personnalisée. Cette activité peut provoquer une attaque en utilisant à mauvais escient la combinaison de deux en-têtes : longueur du contenu et encodage de transfert.

À l’aide de l’indicateur HTTP Desync Attack, vous pouvez analyser si l’instance Citrix ADC peut être sous une attaque de désynchronisation HTTP qui s’est produite en raison de la présence de :

  • En-têtes de codage de la longueur du contenu et du transfert dans une seule transaction HTTP

  • Plusieurs en-têtes de longueur de contenu avec des valeurs différentes dans une seule transaction HTTP

    Attaque de désynchronisation HTTP

L’ action recommandée vous suggère d’ envisager de laisser tomber les transactions HTTP non valides.

Sous Détails de l’événement, vous pouvez afficher :

  • L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.

  • Graphique indiquant les détails de la violation. Placez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de requêtes/réponses non valides.

  • Message de détection de la violation, indiquant le nombre total de demandes/réponses :

    • Contenant plusieurs en-têtes de longueur de contenu avec des valeurs différentes

    • Contenant à la fois la longueur du contenu et les en-têtes de codage de transfert

Attaque de Bleichenbacher

L’instance Citrix ADC détecte si une séquence donnée d’octets d’un message chiffré a le format de remplissage correct lors du déchiffrement.

À l’aide de l’indicateur Bleichenbacher Attack, vous pouvez analyser si l’instance Citrix ADC reçoit des connexions SSL/TLS avec des données chiffrées erronées.

Bleichenbacher

L’ action recommandée indique qu’aucune autre action n’est requise car l’instance Citrix ADC met fin aux connexions de connexion et atténue cette attaque.

Sous Détails de l’événement, vous pouvez afficher :

  • L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.

  • Graphique indiquant les détails de la violation. Placez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de connexions erronées détectées.

  • Message de détection de la violation, indiquant le nombre total de connexions de connexion sur le serveur virtuel avec des données chiffrées erronées.

Segment Smack Attaque

Une attaque Smack par segment est une attaque par déni de service (DoS), dans laquelle l’attaquant peut envoyer des paquets de petite taille non ordonnés au cours d’une session TCP. Ces paquets TCP personnalisés peuvent affecter le processeur et la mémoire, et entraîner un déni de service sur l’instance Citrix ADC.

À l’aide de l’indicateur Smack Attack de segment, vous pouvez analyser si une instance Citrix ADC a reçu un grand nombre de paquets TCP que la limite de file d’attente configurée. Pour plus d’informations, consultez la section Configuration TCP.

Segment attaque smack

En tant qu’administrateur, aucune autre action n’est requise car l’instance Citrix ADC atténue cette attaque en abandonnant tous les paquets TCP excédentaires.

Sous Détails de l’événement, vous pouvez afficher :

  • L’instance Citrix ADC affectée

  • Graphique indiquant les détails de la violation. Placez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de connexions client incorrectes détectées.

  • Message de détection de la violation, indiquant le nombre total de connexions client supprimées.

    Attaque segment smack 1

Attaque par saturation SYN

Une attaque par saturation SYN est une attaque par déni de service (DoS) qui peut affecter la machine cible, en envoyant des milliers de demandes de connexion à l’aide d’adresses IP usurpées. Lorsqu’une instance Citrix ADC est soumise à une attaque SYN Flood, l’instance tente d’ouvrir une connexion pour chaque requête malveillante, puis d’attendre un paquet d’accusé de réception qui n’arrive jamais.

Le SYNCOOKIE dans le profil TCP empêche les attaques SYN sur l’appliance Citrix ADC. Par défaut, le SYNCOOKIE sur l’instance ADC est activé. La possibilité pour l’instance Citrix ADC sous une attaque par saturation SYN est élevée uniquement lorsque SYNCOOKIE est désactivé. Pour plus d’informations, reportez-vous à la section Protection contre le déni de service SYN des couches 3 et 4.

À l’aide de l’indicateur SYN Flood Attack, vous pouvez analyser si l’instance Citrix ADC est soumise à une attaque SYN.

Attaque par saturation SYN

En tant qu’administrateur, l’ action recommandée vous suggère d’ activer SYN COOKIE dans le profil TCP.

Sous Détails de l’événement, vous pouvez afficher :

  • L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation

  • Graphique indiquant les détails de l’attaque SYN

  • Le message de détection indiquant le nombre total de fois que l’application est détectée lors d’une attaque SYN

Attaque de petite fenêtre

Une attaque de petite fenêtre est une attaque par déni de service (DoS) qui peut affecter la machine cible, en envoyant des milliers de paquets TCP avec une fenêtre de taille inférieure ou une taille de fenêtre 0. La taille de la fenêtre 0 indique que la machine cible doit cesser d’envoyer d’autres données jusqu’à nouvel ordre. En envoyant autant que des connexions similaires à la machine cible, la mémoire de la machine cible est utilisée au maximum et ne répond plus.

À l’aide de l’indicateur Small Window Attack, vous pouvez analyser si l’instance Citrix ADC est soumise à l’attaque sockstress.

Attaque Small window

Par défaut, l’instance Citrix ADC atténue cette attaque en abandonnant tous ces paquets de petites fenêtres TCP. Par conséquent, en tant qu’administrateur, aucune autre action n’est requise.

Sous Détails de l’événement, vous pouvez afficher :

  • L’application affectée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.

  • Graphique indiquant les détails de l’attaque. Placez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de paquets TCP de petites fenêtres détectés.

  • Message de détection indiquant le nombre total de paquets de petites fenêtres TCP supprimés.

Détails de la violation du réseau