スローロリス は、HTTP ヘッダーを可能な限り低速でターゲットアプリケーションに送信するサービス拒否攻撃です。 ターゲット アプリケーションはヘッダーの到着を強制的に待機する必要があり、複数の同様の接続が開かれた場合はすぐに要求を処理できなくなる可能性があります。 NetScaler インスタンスが大量の HTTP 要求を受信すると、HTTP ヘッダーが増加し、要求の完了に長い時間がかかります。 このプロセスにより、アプリケーション サーバーのリソースが枯渇し、HTTP Slow Loris 攻撃が発生する可能性があります。
HTTP Slow Loris インジケーターを使用すると、 Slow Loris 攻撃の結果となるリクエストを分析できます。
問題をトラブルシューティングするための 推奨アクション :
不完全なヘッダー遅延 (incompHdrDelay) 構成を小さい値に調整することを検討してください。
デフォルトでは、NetScaler インスタンスはこれらの不完全な要求をドロップします。
イベントの詳細では、以下を表示できます。
影響を受けるアプリケーション。 2 つ以上のアプリケーションが違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。
すべての違反を示すグラフ
違反発生時刻
検出メッセージは、不完全なリクエストの合計が スローロリス 攻撃であることを示しています
DNS Slow Loris インジケーターは、NetScaler が複数のパケットにまたがる多数の DNS 要求を受信したことを検出します。 このプロセスにより、DNS サーバーのリソースが枯渇し、 DNS Slow Loris 攻撃が発生する可能性があります。 デフォルトでは、NetScaler インスタンスはこれらの DNS Slow Loris 要求をドロップするため、この問題のトラブルシューティングにそれ以上のアクションは必要ありません。
イベントの詳細では、以下を表示できます。
影響を受けるアプリケーション。 2 つ以上のアプリケーションが違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。
すべての違反を示すグラフ
違反発生時刻
検出メッセージは、DNSリクエストの合計が スローロリス 攻撃であることを示しています
Slow Post は、ターゲット アプリケーションに HTTP POST ヘッダーを送信するサービス拒否攻撃です。 ヘッダーでは、メッセージ本体のサイズは正しく指定されていますが、メッセージ本体は低速で送信されます。 ターゲット アプリケーションは待機を余儀なくされ、複数の同様の接続が開かれた場合、すぐに要求を処理できなくなる可能性があります。
このプロセスにより、アプリケーション サーバーのリソースが枯渇し、HTTP Slow Post 攻撃が発生する可能性があります。
HTTP Slow Post インジケーターを使用すると、スローポスト攻撃の原因となるリクエストを分析できます。
この問題をトラブルシューティングするための 推奨アクション は、NetScaler HTTP プロファイルで要求タイムアウトを有効にして構成することです。 詳細については、「 HTTP 構成」を参照してください。
イベントの詳細では、以下を表示できます。
影響を受けるアプリケーション。 2 つ以上のアプリケーションが違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。
すべての違反を示すグラフ
違反発生時刻
検出メッセージは、POSTリクエストの合計が スローロリス 攻撃であることを示しています
NXDOMAIN フラッド攻撃は、DNS サーバーまたは NetScaler インスタンス (DNS プロキシ サーバーとして構成されている) をターゲットにして、存在しない要求や無効な要求を大量に送信できる分散型サービス拒否 (DDoS) 攻撃です。 この攻撃は DNS サーバーまたは NetScaler インスタンスに影響を与え、速度低下や要求への応答不能を引き起こす可能性があります。
NXDOMAIN フラッド攻撃 インジケーターを使用すると、NXDOMAIN 攻撃の結果となるリクエストを分析できます。
問題をトラブルシューティングするための 推奨アクション :
DNS サーバーと DNS プロキシ サーバーの両方で異常に高いリソース消費がないか確認します。
NetScalerインスタンスのリクエストレートの制限を適用する
疑わしいクライアントのIPアドレスを隔離してブロックする
ほとんどの名前がNXDOMAINになる場合は、識別可能なパターンに従い、そのようなリクエストをドロップするようにDNSポリシーを設定します。
本物の DNS レコードのメモリを節約するには、NetScaler インスタンスで否定レコードの制限を構成します。 詳細については、「 DNS DDoS 攻撃を軽減する」を参照してください。
イベントの詳細では、以下を表示できます。
影響を受けるアプリケーション。 2 つ以上のアプリケーションが違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。
すべての違反を示すグラフ
HTTP 非同期攻撃では、単一の HTTP リクエストが次のように解釈されます。
このシナリオでは、バックエンド サーバーは 2 番目の要求が別のクライアントからのものであると解釈します。 仮想サーバーとバックエンドサーバー間の接続は、さまざまな要求に対して再利用されます。 最初のクライアント要求が悪意のあるデータを含む悪意のあるクライアントから処理された場合、次のクライアント要求にはカスタマイズされた要求が含まれる可能性があります。 このアクティビティは、コンテンツの長さと転送エンコーディングの 2 つのヘッダーの組み合わせを悪用して攻撃を引き起こす可能性があります。
HTTP 非同期攻撃 インジケーターを使用すると、以下の原因により NetScaler インスタンスが HTTP 非同期攻撃を受けているかどうかを分析できます。
単一のHTTPトランザクションにおけるコンテンツの長さと転送エンコーディングヘッダー
単一の HTTP トランザクション内で異なる値を持つ複数のコンテンツ長ヘッダー
推奨アクション では、無効な HTTP トランザクションを削除することを検討することを推奨しています。
イベントの詳細では、以下を表示できます。
影響を受けるアプリケーション。 2 つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。
違反の詳細を示すグラフ。 棒グラフにマウス ポインターを合わせると、無効なリクエスト/レスポンスの合計が表示されます。
違反の検出メッセージ。リクエスト/レスポンスの合計数を示します。
異なる値を持つ複数のコンテンツ長ヘッダーを含む
コンテンツ長と転送エンコーディングヘッダーの両方を含む
NetScaler インスタンスは、暗号化されたメッセージの特定のバイト シーケンスが復号化時に正しいパディング形式を持っているかどうかを検出します。
Bleichenbacher Attack インジケーターを使用すると、NetScaler インスタンスが誤った暗号化データを含む SSL/TLS ハンドシェイク接続を受信するかどうかを分析できます。
推奨アクション は、NetScaler インスタンスがハンドシェイク接続を終了し、この攻撃を軽減するため、それ以上のアクションは必要ないことを示しています。
イベントの詳細では、以下を表示できます。
影響を受けるアプリケーション。 2 つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。
違反の詳細を示すグラフ。 棒グラフ上でマウス ポイントを移動すると、検出されたエラーのあるハンドシェイク接続の合計が表示されます。
違反の検出メッセージ。仮想サーバー上の暗号化データに誤りがあるハンドシェイク接続の合計数を示します。
セグメント スマック攻撃 は、攻撃者が TCP セッション中に順序付けられていない小さなサイズのパケットを送信するサービス拒否 (DoS) 攻撃です。 これらのカスタマイズされた TCP パケットは CPU とメモリに影響を与え、NetScaler インスタンスでサービス拒否を引き起こす可能性があります。
セグメント スマック アタック インジケーターを使用すると、NetScaler インスタンスが設定されたキュー制限よりも多くの TCP パケットを受信したかどうかを分析できます。 詳細については、 TCP 構成を参照してください。
NetScaler インスタンスは余分な TCP パケットをすべてドロップすることでこの攻撃を軽減するため、管理者はそれ以上のアクションを実行する必要はありません。
イベントの詳細では、以下を表示できます。
影響を受けるNetScalerインスタンス
違反の詳細を示すグラフ。 棒グラフ上でマウス ポイントを移動すると、検出された不良クライアント接続の合計数が表示されます。
違反の検出メッセージ。ドロップされたクライアント接続の合計数を示します。
SYN フラッド攻撃は、偽装された IP アドレスを使用して何千もの接続要求を送信することで、ターゲット マシンに影響を及ぼす可能性があるサービス拒否 (DoS) 攻撃です。 NetScaler インスタンスが SYN フラッド攻撃を受けている場合、インスタンスは悪意のあるリクエストごとに接続を開こうとし、到着しない確認応答パケットを待機します。
TCP プロファイルの SYNCOOKIE は、NetScaler アプライアンスに対する SYN 攻撃を防ぎます。 デフォルトでは、NetScaler インスタンス上の SYNCOOKIE は有効になっています。 SYNCOOKIE が無効になっている場合のみ、NetScaler インスタンスが SYN フラッド攻撃を受ける可能性が高くなります。
SYN フラッド攻撃 インジケーターを使用すると、NetScaler インスタンスが SYN 攻撃を受けているかどうかを分析できます。
管理者として、 推奨アクション では、TCP プロファイルで SYN COOKIE を有効にすることを推奨しています。
イベントの詳細では、以下を表示できます。
影響を受けるアプリケーション。 2つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。
SYN攻撃の詳細を示すグラフ
アプリケーションがSYN攻撃で検出された合計回数を示す検出メッセージ
スモール ウィンドウ攻撃は、ウィンドウ サイズが小さいかウィンドウ サイズが 0 の TCP パケットを何千も送信することで、ターゲット マシンに影響を及ぼす可能性があるサービス拒否 (DoS) 攻撃です。 ウィンドウ サイズ 0 は、ターゲット マシンが通知があるまでこれ以上のデータの送信を停止する必要があることを示します。 同様の接続をターゲット マシンに送信すると、ターゲット マシンのメモリが最大限に使用され、応答しなくなります。
Small Window Attack インジケーターを使用すると、NetScaler インスタンスが sockstress 攻撃を受けているかどうかを分析できます。
デフォルトでは、NetScaler インスタンスは、このような TCP スモール ウィンドウ パケットをすべてドロップすることで、この攻撃を軽減します。 したがって、管理者としてこれ以上のアクションは必要ありません。
イベントの詳細では、以下を表示できます。
影響を受けるアプリケーション。 2 つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。
攻撃の詳細を示すグラフ。 棒グラフ上でマウス ポイントを移動すると、検出された TCP スモール ウィンドウ パケットの合計数が表示されます。
ドロップされた TCP スモール ウィンドウ パケットの合計数を示す検出メッセージ。