Détails des violations réseau
Slow Loris HTTP
L’attaque Slow Loris est une attaque par déni de service qui peut envoyer des en-têtes HTTP à l’application cible aussi lentement que possible. L’application cible est forcée d’attendre l’arrivée des en-têtes et peut rapidement devenir indisponible pour traiter les requêtes si plusieurs connexions similaires sont ouvertes. Lorsqu’une instance NetScaler reçoit un volume élevé de requêtes HTTP, l’en-tête HTTP augmente et prend beaucoup de temps à compléter les requêtes. Ce processus peut épuiser les ressources du serveur d’applications et entraîner une attaque HTTP Slow Loris.
En utilisant l’indicateur Slow Loris HTTP, vous pouvez analyser les requêtes qui ont entraîné une attaque Slow Loris.
Les Actions recommandées pour résoudre le problème sont les suivantes :
-
Envisagez de régler la configuration du délai d’en-tête incomplet (incompHdrDelay) sur une valeur plus petite.
-
Par défaut, l’instance NetScaler abandonne ces requêtes incomplètes.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Le graphique indiquant toutes les violations
-
L’heure de l’occurrence de la violation
-
Le message de détection indiquant le total des requêtes incomplètes comme attaque Slow Loris
Slow Loris DNS
L’indicateur Slow Loris DNS détecte lorsqu’un NetScaler reçoit un nombre élevé de requêtes DNS s’étendant sur plus d’un paquet. Ce processus peut épuiser les ressources du serveur DNS et entraîner une attaque Slow Loris DNS. Par défaut, l’instance NetScaler abandonne ces requêtes Slow Loris DNS et aucune autre action n’est requise pour résoudre ce problème.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Le graphique indiquant toutes les violations
-
L’heure de l’occurrence de la violation
-
Le message de détection indiquant le total des requêtes DNS comme attaque Slow Loris
Slow Post HTTP
L’attaque Slow Post est une attaque par déni de service qui peut envoyer des en-têtes HTTP POST à une application cible. Dans les en-têtes, les tailles des corps de message sont spécifiées correctement, mais le corps du message est envoyé à faible vitesse. L’application cible est forcée d’attendre et peut rapidement devenir indisponible pour traiter les requêtes si plusieurs connexions similaires sont ouvertes.
Ce processus peut épuiser les ressources du serveur d’applications et entraîner une attaque Slow Post HTTP.
En utilisant l’indicateur Slow Post HTTP, vous pouvez analyser les requêtes qui ont entraîné une attaque Slow Post.
L’Action recommandée pour résoudre ce problème est d’activer et de configurer le délai d’expiration des requêtes (Request Timeout) dans le profil HTTP de NetScaler. Pour plus d’informations, consultez Configurations HTTP.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Le graphique indiquant toutes les violations
-
L’heure de l’occurrence de la violation
-
Le message de détection indiquant le total des requêtes POST comme attaque Slow Loris
Attaque par inondation NXDOMAIN
L’attaque par inondation NXDOMAIN est une attaque par déni de service distribué (DDoS) qui peut cibler un serveur DNS ou une instance NetScaler (configurée comme serveur proxy DNS) et envoyer un volume élevé de requêtes non existantes ou invalides. Cette attaque peut impacter le serveur DNS ou l’instance NetScaler, entraînant un ralentissement ou l’absence de réponse aux requêtes.
En utilisant l’indicateur Attaque par inondation NXDOMAIN, vous pouvez analyser les requêtes qui ont entraîné une attaque NXDOMAIN.
Les Actions recommandées pour résoudre le problème sont les suivantes :
-
Vérifiez la consommation de ressources anormalement élevée sur le serveur DNS et le serveur proxy DNS.
-
Appliquez une limite de débit de requêtes sur l’instance NetScaler.
-
Isolez et bloquez les adresses IP clientes suspectes.
-
Si la plupart des noms entraînent un NXDOMAIN, suivez un modèle identifiable et configurez des politiques DNS pour abandonner ces requêtes.
-
Pour économiser la mémoire pour les enregistrements DNS authentiques, configurez une limite pour les enregistrements négatifs sur l’instance NetScaler. Pour plus d’informations, consultez Atténuer les attaques DDoS DNS.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Le graphique indiquant toutes les violations
Attaque de désynchronisation HTTP
Dans une attaque de désynchronisation HTTP, une seule requête HTTP est interprétée comme :
- Une seule requête vers le serveur frontal (serveur virtuel)
- 2 requêtes vers le serveur dorsal
Dans ce scénario, le serveur dorsal interprète la deuxième requête comme provenant d’un client différent. La connexion entre le serveur virtuel et le serveur dorsal est réutilisée pour différentes requêtes. Si la première requête client est traitée par un client malveillant avec des données malveillantes, la requête client suivante peut avoir une requête personnalisée. Cette activité peut provoquer une attaque en abusant de la combinaison de deux en-têtes : la longueur du contenu (content length) et l’encodage de transfert (transfer encoding).
En utilisant l’indicateur Attaque de désynchronisation HTTP, vous pouvez analyser si l’instance NetScaler pourrait être sous une attaque de désynchronisation HTTP qui s’est produite en raison de la présence de :
-
En-têtes de longueur de contenu et d’encodage de transfert dans une seule transaction HTTP
-
Plusieurs en-têtes de longueur de contenu avec des valeurs différentes dans une seule transaction HTTP
L’Action recommandée suggère d’envisager d’abandonner les transactions HTTP invalides.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.
-
Le graphique indiquant les détails de la violation. Passez le pointeur de la souris sur le graphique à barres pour afficher le total des requêtes/réponses invalides.
-
Le message de détection de la violation, indiquant le total des requêtes/réponses :
-
Contenant plusieurs en-têtes de longueur de contenu avec des valeurs différentes
-
Contenant à la fois des en-têtes de longueur de contenu et d’encodage de transfert
-
Attaque Bleichenbacher
L’instance NetScaler détecte si une séquence donnée d’octets d’un message chiffré a le format de remplissage correct lors du déchiffrement.
En utilisant l’indicateur Attaque Bleichenbacher, vous pouvez analyser si l’instance NetScaler reçoit des connexions de négociation SSL/TLS avec des données chiffrées erronées.
L’Action recommandée indique qu’aucune autre action n’est requise car l’instance NetScaler met fin aux connexions de négociation et atténue cette attaque.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.
-
Le graphique indiquant les détails de la violation. Passez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de connexions de négociation erronées détectées.
-
Le message de détection de la violation, indiquant le nombre total de connexions de négociation sur le serveur virtuel avec des données chiffrées erronées.
Attaque Segment Smack
Une Attaque Segment Smack est une attaque par déni de service (DoS) dans laquelle l’attaquant peut envoyer de petits paquets non ordonnés pendant une session TCP. Ces paquets TCP personnalisés peuvent affecter le CPU et la mémoire, et entraîner un déni de service sur l’instance NetScaler.
En utilisant l’indicateur Attaque Segment Smack, vous pouvez analyser si une instance NetScaler a reçu un grand nombre de paquets TCP dépassant la limite de file d’attente configurée. Pour plus d’informations, consultez Configuration TCP.
En tant qu’administrateur, aucune autre action n’est requise car l’instance NetScaler atténue cette attaque en abandonnant tous ces paquets TCP excédentaires.
Sous Détails de l’événement, vous pouvez afficher :
-
L’instance NetScaler concernée
-
Le graphique indiquant les détails de la violation. Passez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de mauvaises connexions client détectées.
-
Le message de détection de la violation, indiquant le nombre total de connexions client abandonnées.
Attaque par inondation SYN
Une attaque par inondation SYN est une attaque par déni de service (DoS) qui peut affecter la machine cible en envoyant des milliers de requêtes de connexion utilisant des adresses IP usurpées. Lorsqu’une instance NetScaler est sous une attaque par inondation SYN, l’instance tente d’ouvrir une connexion pour chaque requête malveillante, puis attend un paquet d’accusé de réception qui n’arrive jamais.
Le SYNCOOKIE dans le profil TCP empêche les attaques SYN sur l’appliance NetScaler. Par défaut, le SYNCOOKIE sur l’instance NetScaler est activé. La probabilité que l’instance NetScaler soit sous une attaque par inondation SYN est élevée uniquement lorsque SYNCOOKIE est désactivé.
En utilisant l’indicateur Attaque par inondation SYN, vous pouvez analyser si l’instance NetScaler est sous attaque SYN.
En tant qu’administrateur, l’Action recommandée suggère d’activer SYN COOKIE dans le profil TCP.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.
-
Le graphique indiquant les détails de l’attaque SYN
-
Le message de détection, indiquant le nombre total de fois où l’application a été détectée avec une attaque SYN
Attaque Small Window
Une attaque Small Window est une attaque par déni de service (DoS) qui peut affecter la machine cible en envoyant des milliers de paquets TCP avec une fenêtre de taille plus petite ou une taille de fenêtre de 0. Une taille de fenêtre de 0 indique que la machine cible doit cesser d’envoyer des données jusqu’à nouvel ordre. En envoyant autant de connexions similaires à la machine cible, la mémoire de la machine cible est utilisée au maximum et celle-ci devient insensible.
En utilisant l’indicateur Attaque Small Window, vous pouvez analyser si l’instance NetScaler est sous l’attaque sockstress.
Par défaut, l’instance NetScaler atténue cette attaque en abandonnant tous ces paquets TCP de petite fenêtre. Par conséquent, en tant qu’administrateur, aucune autre action n’est requise.
Sous Détails de l’événement, vous pouvez afficher :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.
-
Le graphique indiquant les détails de l’attaque. Passez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de paquets TCP de petite fenêtre détectés.
-
Le message de détection indiquant le nombre total de paquets TCP de petite fenêtre abandonnés.