Application Delivery Management

ネットワーク違反の詳細

HTTPスローロリス

Slow Loris は、HTTP ヘッダーをターゲットアプリケーションにできるだけ遅く送信できるサービス拒否攻撃です。ターゲットアプリケーションは、ヘッダーの到着を待つことを余儀なくされ、複数の同様の接続が開かれると、要求を処理するためにすぐに利用できなくなる可能性があります。NetScaler ADC インスタンスが大量の HTTP リクエストを受信すると、HTTP ヘッダーが増え、リクエストを完了するまでに時間がかかります。このプロセスにより、アプリケーションサーバーのリソースが使い果たされ、HTTP Slow Loris 攻撃が発生する可能性があります。

HTTP Slow Loris インジケータを使用して、 スローロリスの攻撃の結果となったリクエストを分析できます

Attack

問題をトラブルシューティングするための 推奨処置

  • 不完全なヘッダー遅延 (IncomphdrDelay) 構成をより小さい値にチューニングすることを検討してください。

  • デフォルトでは、NetScaler ADC インスタンスはこれらの不完全な要求をドロップします。

[ イベントの詳細] では、次の項目を表示できます:

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • スローロリス攻撃として不完全なリクエストの合計を示す検出メッセージ

DNSスローロリス

DNS スローリスインジケータは 、NetScaler ADCが複数のパケットにまたがる多数のDNS要求を受信したときに検出されます。このプロセスは、DNSサーバーのリソースを消費し、 DNSスローロリスの攻撃につながる可能性があります 。デフォルトでは、Citrix ADCインスタンスはこれらのDNS低速Loris要求をドロップし 、この問題のトラブルシューティングに必要な操作はありません。

DNS攻撃

[ イベントの詳細] では、次の項目を表示できます:

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • スローロリスの攻撃としての DNS 要求の合計を示す検出メッセージ

HTTP スローポスト

Slow Post は、HTTP POST ヘッダーをターゲットアプリケーションに送信できるサービス拒否攻撃です。ヘッダーでは、メッセージ本文のサイズは正しく指定されていますが、メッセージ本文は低速で送信されます。ターゲットアプリケーションは待機せざるを得ず、同様の接続が複数開かれると、すぐにリクエストを処理できなくなります。

このプロセスは、アプリケーションサーバーのリソースを使い果たし、HTTPスローポスト攻撃を引き起こす可能性があります。

HTTP スローポストインジケータを使用すると 、スローポスト攻撃の原因となったリクエストを分析できます。

HTTP スローポスト

NetScaler ADC HTTPプロファイルで要求タイムアウトを有効にして構成するには、この問題のトラブルシューティングを行う 推奨アクション 。詳細については、「 HTTP 設定」を参照してください。

[ イベントの詳細] では、次の項目を表示できます:

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • スローロリスの攻撃としてPOSTリクエストの合計を示す検出メッセージ

NXDOMAIN フラッド攻撃

NXDOMAIN フラッド攻撃は、DNS サーバまたは ADC インスタンス(DNS プロキシサーバとして構成されている)をターゲットとし、大量の存在しない要求や無効な要求を送信できる分散型サービス拒否(DDoS)攻撃です。この攻撃は、DNS サーバーまたは ADC インスタンスに影響を与える可能性があります。その結果、速度が低下したり、要求が応答を受けたりしません。

NXDOMAIN フラッド攻撃インジケータを使用して 、NXDOMAIN 攻撃の結果として発生した要求を分析できます。

NXDOMAIN

問題をトラブルシューティングするための 推奨処置

  • DNS サーバーと DNS プロキシサーバーの両方で、リソース消費量が異常に高いかどうかを確認します。

  • NetScaler ADC インスタンスにリクエストレート制限を強制する

  • 疑わしいクライアントIPアドレスの分離とブロック

  • ほとんどの名前が NXDOMAIN になる場合は、識別可能なパターンに従い、そのような要求を削除するように DNS ポリシーを構成します。

  • 正規のDNSレコードのメモリを節約するには、NetScaler ADC インスタンスでネガティブレコードの制限を構成します。詳細については、「 DNS DDoS 攻撃を緩和する」を参照してください。

[ イベントの詳細] では、次の項目を表示できます:

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

HTTP デシント攻撃

HTTP desync 攻撃では、単一の HTTP 要求は次のように解釈されます。

  • フロントエンドサーバー (仮想サーバー) への単一の要求
  • バックエンドサーバーへの 2 つの要求

このシナリオでは、バックエンドサーバーは、2 番目の要求が別のクライアントからのものであると解釈します。仮想サーバーとバックエンドサーバー間の接続は、異なる要求のために再利用されます。最初のクライアント要求が、悪意のあるデータを含む悪意のあるクライアントから処理された場合、次のクライアント要求はカスタマイズされた要求を持つことができます。このアクティビティは、コンテンツ長と転送エンコーディングの 2 つのヘッダーの組み合わせを誤って使用することによって攻撃を引き起こす可能性があります。

HTTP Desync攻撃インジケータを使用して 、NetScaler ADCインスタンスが次の場合に発生したHTTP desync攻撃を受けているかどうかを分析できます。

  • 単一の HTTP トランザクションでのコンテンツの長さと転送エンコーディングヘッダー

  • 単一のHTTPトランザクションで異なる値を持つ複数のコンテンツ長ヘッダー

    HTTP desync 攻撃

推奨アクションでは 、無効な HTTP トランザクションの削除を検討することをお勧めします。

[ イベントの詳細] では、次の項目を表示できます:

  • 影響を受けるアプリケーション。2 つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。

  • 違反の詳細を示すグラフ。マウスポインタを棒グラフの上に置くと、無効なリクエスト/応答の合計が表示されます。

  • 違反の検出メッセージで、要求/応答の合計を示します。

    • 異なる値を持つ複数のコンテンツ長ヘッダーを含む

    • コンテンツ長と転送エンコーディングヘッダーの両方を含む

ブライヘンバッハーアタック

NetScaler ADCインスタンスは、暗号化されたメッセージの指定されたバイトシーケンスが、復号時に正しいパディング形式であるかどうかを検出します。

Bleichenbacher 攻撃インジケータを使用して 、NetScaler ADCインスタンスが誤った暗号化されたデータを持つSSL/TLSハンドシェイク接続を受信したかどうかを分析できます。

Bleichenbacher

推奨されるアクションは 、NetScaler ADCインスタンスがハンドシェイク接続を終了し、この攻撃を軽減するため、それ以上のアクションは必要ないことを示しています。

[ イベントの詳細] では、次の項目を表示できます:

  • 影響を受けるアプリケーション。2 つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。

  • 違反の詳細を示すグラフ。棒グラフにマウスポイントを置くと、検出された誤ったハンドシェイク接続の合計が表示されます。

  • 違反の検出メッセージ。暗号化されたデータが正しくない仮想サーバ上のハンドシェイク接続の合計を示します。

セグメントスマックアタック

セグメントスマック攻撃は 、攻撃者が TCP セッション中に順序のない小さなサイズのパケットを送信できるサービス拒否 (DoS) 攻撃です。これらのカスタマイズされたTCPパケットは、CPUとメモリに影響を与え、NetScaler ADCインスタンスでサービス拒否を引き起こす可能性があります。

セグメントスマック攻撃インジケータを使用して 、NetScaler ADCインスタンスが、構成されたキュー制限を超える多数のTCPパケットを受信したかどうかを分析できます。詳細については、「 TCP 構成」を参照してください。

セグメントスマック攻撃

NetScaler ADCインスタンスは、これらの余分なTCPパケットをすべてドロップすることでこの攻撃を軽減するため、管理者はそれ以上のアクションは必要ありません。

[ イベントの詳細] では、次の項目を表示できます:

  • 影響を受けたNetScaler ADCインスタンス

  • 違反の詳細を示すグラフ。棒グラフにマウスポイントを置くと、検出された不正なクライアント接続の合計数が表示されます。

  • 違反の検出メッセージ。ドロップされたクライアント接続の合計を示します。

    セグメントスマック attack1

SYN フラッドアタック

SYN フラッド攻撃は、スプーフィングされた IP アドレスを使用して数千の接続要求を送信することにより、ターゲットマシンに影響を与える可能性のあるサービス拒否 (DoS) 攻撃です。NetScaler ADC インスタンスが SYN フラッド攻撃を受けている場合 、インスタンスは、悪意のある要求ごとに接続を開き、受信しない確認パケットを待機します。

TCPプロファイルのSYNCCOOKIEは 、NetScaler ADCアプライアンスに対するSYN攻撃を防止します。デフォルトでは、ADC インスタンスの SYNCCOOKIE が有効になっています。SYNフラッド攻撃でNetScaler ADCインスタンスの可能性が高くなるのは、SYNCCOOKIEが無効になっている場合のみです。詳細については、「 レイヤ 3-4 SYN サービス拒否保護」を参照してください。

SYNフラッド攻撃インジケータを使用して 、NetScaler ADCインスタンスがSYN攻撃を受けているかどうかを分析できます。

SYN フラッド攻撃

管理者として、 推奨されるアクションでは 、TCP プロファイルで SYN COOKIE を有効にすることをお勧めします。

[ イベントの詳細] では、次の項目を表示できます:

  • 影響を受けるアプリケーション。2 つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます

  • SYN 攻撃の詳細を示すグラフ

  • SYN 攻撃でアプリケーションが検出された合計回数を示す検出メッセージ

スモールウィンドウ攻撃

スモールウィンドウ攻撃は 、小さいウィンドウまたはウィンドウサイズ 0 のいずれかで数千の TCP パケットを送信することにより、ターゲットマシンに影響を与える可能性のあるサービス拒否 (DoS) 攻撃です。ウィンドウサイズ0は、ターゲットマシンが通知するまでそれ以上のデータの送信を停止する必要があります。同じ数の接続をターゲットマシンに送信することにより、ターゲットマシンのメモリは最大限まで使用され、応答しなくなります。

スモールウィンドウ攻撃インジケータを使用して 、NetScaler ADCインスタンスがsockstress攻撃を受けているかどうかを分析できます。

スモールウィンドウ攻撃

デフォルトでは、NetScaler ADCインスタンスは、このようなTCPスモールウィンドウパケットをすべてドロップすることにより、この攻撃を軽減します。したがって、管理者として、それ以上のアクションは必要ありません。

[ イベントの詳細] では、次の項目を表示できます:

  • 影響を受けるアプリケーション。2 つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。

  • 攻撃の詳細を示すグラフ。棒グラフにマウスポイントを置くと、検出された TCP スモールウィンドウパケットの総数が表示されます。

  • ドロップされた TCP スモールウィンドウパケットの合計を示す検出メッセージ。

ネットワーク違反の詳細