Détails de la violation du réseau
Loris lent HTTP
Slow Loris est une attaque par déni de service qui peut envoyer des en-têtes HTTP à l’application cible aussi lentement que possible. L’application cible est obligée d’attendre l’arrivée des en-têtes et peut également rapidement devenir indisponible pour gérer les requêtes si plusieurs connexions similaires sont ouvertes. Lorsqu’une instance NetScaler reçoit un volume élevé de requêtes HTTP, l’en-tête HTTP augmente et prend beaucoup de temps pour terminer les requêtes. Ce processus peut épuiser les ressources du serveur d’applications et entraîner une attaque HTTP Slow Loris .
En utilisant l’indicateur HTTP Slow Loris ** , vous pouvez analyser les requêtes qui aboutissent à une attaque **Slow Loris .
Les Actions recommandées pour résoudre le problème :
-
Envisagez de régler la configuration du délai d’en-tête incomplet (incompHdrDelay) sur une valeur plus petite.
-
Par défaut, l’instance NetScaler abandonne ces demandes incomplètes.
Sous Détails de l’événement, vous pouvez voir :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Le graphique indiquant toutes les violations
-
L’heure de survenance de la violation
-
Le message de détection indiquant le nombre total de requêtes incomplètes comme une attaque Slow Loris **
Loris lent DNS
L’indicateur DNS Slow Loris détecte lorsqu’un NetScaler reçoit un nombre élevé de requêtes DNS couvrant plusieurs paquets. Ce processus peut épuiser les ressources du serveur DNS et entraîner une attaque DNS Slow Loris ** . Par défaut, l’instance NetScaler abandonne ces **requêtes DNS Slow Loris et aucune autre action n’est requise pour résoudre ce problème.
Sous Détails de l’événement, vous pouvez voir :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Le graphique indiquant toutes les violations
-
L’heure de survenance de la violation
-
Le message de détection indiquant le nombre total de requêtes DNS comme étant une attaque Slow Loris de **
Publication HTTP lente
Le Slow Post est une attaque par déni de service qui peut envoyer des en-têtes HTTP POST à une application cible. Dans les en-têtes, les tailles du corps du message sont spécifiées correctement, mais le corps du message est envoyé à faible vitesse. L’application cible est obligée d’attendre et peut également devenir rapidement indisponible pour gérer les requêtes si plusieurs connexions similaires sont ouvertes.
Ce processus peut épuiser les ressources du serveur d’applications et entraîner une attaque HTTP Slow Post.
En utilisant l’indicateur HTTP Slow Post ** , vous pouvez analyser les requêtes qui entraînent une attaque de publication lente.
L’action recommandée ** pour résoudre ce problème consiste à activer et à configurer le délai d’expiration de la demande dans le profil HTTP NetScaler. Pour plus d’informations, voir Configurations HTTP.
Sous Détails de l’événement, vous pouvez voir :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Le graphique indiquant toutes les violations
-
L’heure de survenance de la violation
-
Le message de détection indiquant le nombre total de requêtes POST comme une attaque Slow Loris de **
Attaque par inondation NXDOMAIN
L’attaque par inondation NXDOMAIN est une attaque par déni de service distribué (DDoS) qui peut cibler un serveur DNS ou une instance NetScaler (configurée comme serveur proxy DNS) et envoyer un volume élevé de requêtes inexistantes ou non valides. Cette attaque peut avoir un impact sur le serveur DNS ou l’instance NetScaler, entraînant un ralentissement ou des requêtes sans réponse.
En utilisant l’indicateur NXDOMAIN Flood Attack , vous pouvez analyser les requêtes qui ont abouti à une attaque NXDOMAIN.
Les Actions recommandées pour résoudre le problème :
-
Vérifiez la consommation de ressources anormalement élevée sur le serveur DNS et le serveur proxy DNS.
-
Appliquer une limite au taux de requêtes sur l’instance NetScaler
-
Isoler et bloquer les adresses IP suspectes des clients
-
Si la plupart des noms aboutissent à NXDOMAIN, suivez un modèle identifiable et configurez les politiques DNS pour supprimer ces requêtes
-
Pour conserver la mémoire pour les enregistrements DNS authentiques, configurez une limite pour les enregistrements négatifs sur l’instance NetScaler. Pour plus d’informations, consultez Atténuer les attaques DNS DDoS.
Sous Détails de l’événement, vous pouvez voir :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.
-
Le graphique indiquant toutes les violations
Attaque de désynchronisation HTTP
Dans une attaque de désynchronisation HTTP, une seule requête HTTP est interprétée comme :
- Une seule requête au serveur frontal (serveur virtuel)
- 2 requêtes au serveur back-end
Dans ce scénario, le serveur principal interprète la deuxième demande comme provenant d’un client différent. La connexion entre le serveur virtuel et le serveur back-end est réutilisée pour différentes requêtes. Si la première demande client est traitée à partir d’un client malveillant avec des données malveillantes, la demande client suivante peut avoir une demande personnalisée. Cette activité peut provoquer une attaque en utilisant abusivement la combinaison de deux en-têtes : la longueur du contenu et l’encodage du transfert.
À l’aide de l’indicateur Attaque de désynchronisation HTTP , vous pouvez analyser si l’instance NetScaler pourrait être soumise à une attaque de désynchronisation HTTP qui s’est produite en raison de la présence de :
-
Longueur du contenu et en-têtes de codage de transfert dans une seule transaction HTTP
-
Plusieurs en-têtes de longueur de contenu avec des valeurs différentes dans une seule transaction HTTP
L’action recommandée ** vous suggère d’envisager de supprimer les transactions HTTP non valides.
Sous Détails de l’événement, vous pouvez voir :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.
-
Le graphique indiquant les détails de la violation. Passez le pointeur de la souris sur le graphique à barres pour afficher le nombre total de demandes/réponses non valides.
-
Le message de détection de la violation, indiquant le nombre total de demandes/réponses :
-
Contenant plusieurs en-têtes de longueur de contenu avec des valeurs différentes
-
Contenant à la fois la longueur du contenu et les en-têtes de codage de transfert
-
Attaque de Bleichenbacher
L’instance NetScaler détecte si une séquence donnée d’octets d’un message chiffré a le format de remplissage correct lors du déchiffrement.
À l’aide de l’indicateur Bleichenbacher Attack , vous pouvez analyser si l’instance NetScaler reçoit des connexions SSL/TLS avec des données chiffrées erronées.
L’action recommandée ** indique qu’aucune autre action n’est requise car l’instance NetScaler met fin aux connexions de négociation et atténue cette attaque.
Sous Détails de l’événement, vous pouvez voir :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.
-
Le graphique indiquant les détails de la violation. Passez le point de la souris sur le graphique à barres pour afficher le nombre total de connexions de poignée de main erronées détectées.
-
Le message de détection de la violation, indiquant le nombre total de connexions de poignée de main sur le serveur virtuel avec des données chiffrées erronées.
Attaque Smack de segment
Une attaque par déni de service (DoS) de segment ** est une attaque par déni de service (DoS), dans laquelle l’attaquant peut envoyer des paquets de petite taille non ordonnés au cours d’une session TCP. Ces paquets TCP personnalisés peuvent affecter le processeur et la mémoire et entraîner un déni de service sur l’instance NetScaler.
À l’aide de l’indicateur Segment Smack Attack , vous pouvez analyser si une instance NetScaler a reçu un nombre de paquets TCP supérieur à la limite de file d’attente configurée. Pour plus d’informations, voir Configuration TCP.
En tant qu’administrateur, aucune action supplémentaire n’est requise car l’instance NetScaler atténue cette attaque en supprimant tous ces paquets TCP excédentaires.
Sous Détails de l’événement, vous pouvez voir :
-
L’instance NetScaler affectée
-
Le graphique indiquant les détails de la violation. Passez le point de la souris sur le graphique à barres pour afficher le nombre total de connexions client incorrectes détectées.
-
Le message de détection de la violation, indiquant le nombre total de connexions client abandonnées.
Attaque par inondation SYN
Une attaque par inondation SYN est une attaque par déni de service (DoS) qui peut affecter la machine cible, en envoyant des milliers de demandes de connexion à l’aide d’adresses IP usurpées. Lorsqu’une instance NetScaler est soumise à une attaque SYN Flood, l’instance tente d’ouvrir une connexion pour chaque demande malveillante, puis attend un paquet d’accusé de réception qui n’arrive jamais.
Le SYNCOOKIE dans le profil TCP empêche les attaques SYN sur l’appliance NetScaler. Par défaut, le SYNCOOKIE sur l’instance NetScaler est activé. La possibilité que l’instance NetScaler soit soumise à une attaque par inondation SYN n’est élevée que lorsque SYNCOOKIE est désactivé.
À l’aide de l’indicateur SYN Flood Attack , vous pouvez analyser si l’instance NetScaler est soumise à une attaque SYN.
En tant qu’administrateur, l’action recommandée ** vous suggère d’activer SYN COOKIE dans le profil TCP.
Sous Détails de l’événement, vous pouvez voir :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation
-
Le graphique indiquant les détails de l’attaque SYN
-
Le message de détection, indiquant le nombre total de fois que l’application est détectée avec une attaque SYN
Attaque par petite fenêtre
Une attaque par petite fenêtre est une attaque par déni de service (DoS) qui peut affecter la machine cible, en envoyant des milliers de paquets TCP avec une fenêtre de taille plus petite ou une taille de fenêtre de 0. La taille de la fenêtre 0 indique que la machine cible doit cesser d’envoyer davantage de données jusqu’à nouvel ordre. En envoyant autant de connexions similaires à la machine cible, la mémoire de la machine cible est utilisée au maximum et devient insensible.
En utilisant l’indicateur Small Window Attack , vous pouvez analyser si l’instance NetScaler est soumise à l’attaque sockstrex.
Par défaut, l’instance NetScaler atténue cette attaque en supprimant tous ces petits paquets de fenêtre TCP. Par conséquent, en tant qu’administrateur, aucune autre action n’est requise.
Sous Détails de l’événement, vous pouvez voir :
-
L’application concernée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par cette violation.
-
Le graphique indiquant les détails de l’attaque. Passez le point de la souris sur le graphique à barres pour afficher le nombre total de paquets de petite fenêtre TCP détectés.
-
Le message de détection indiquant le nombre total de paquets de petite fenêtre TCP abandonnés.