Slow Loris 是一种拒绝服务攻击,可以尽可能慢地将 HTTP 标头发送到目标应用程序。 目标应用程序被迫等待标头到达,并且如果打开多个类似的连接,也可能很快无法处理请求。 当 NetScaler 实例收到大量 HTTP 请求时,HTTP 标头会增加并需要很长时间才能完成请求。 此过程会耗尽应用服务器资源并导致 HTTP Slow Loris 攻击。
使用 HTTP Slow Loris 指标,您可以分析导致 Slow Loris 攻击的请求。
建议采取 措施来解决问题:
考虑将不完整的 Header Delay(incompHdrDelay)配置调整为较小的值。
默认情况下,NetScaler 实例会丢弃这些不完整的请求。
在 事件详情下,您可以查看:
受影响的应用程序。 如果两个或多个应用程序受到违规影响,您还可以从列表中选择该应用程序。
图表显示所有违规行为
违规发生时间
检测消息指示未完成的请求总数为 Slow Loris 攻击
DNS Slow Loris 指示器检测 NetScaler 何时收到跨越多个数据包的大量 DNS 请求。 此过程会耗尽 DNS 服务器资源并导致 DNS Slow Loris 攻击。 默认情况下,NetScaler 实例会丢弃这些 DNS Slow Loris 请求,并且无需进一步采取任何措施来解决此问题。
在 事件详情下,您可以查看:
受影响的应用程序。 如果两个或多个应用程序受到违规影响,您还可以从列表中选择该应用程序。
图表显示所有违规行为
违规发生时间
检测消息表明 DNS 请求总数为 Slow Loris 攻击
慢速发布是一种拒绝服务攻击,可以向目标应用程序发送 HTTP POST 标头。 在标题中,正文消息大小指定正确,但消息正文的发送速度较慢。 如果打开多个类似的连接,目标应用程序将被迫等待,并且很快无法处理请求。
此过程会耗尽应用服务器资源并导致 HTTP Slow Post 攻击。
使用 HTTP Slow Post 指标,您可以分析导致慢速发布攻击的请求。
建议操作 解决此问题以在 NetScaler HTTP 配置文件中启用和配置请求超时。 有关更多信息,请参阅 HTTP 配置。
在 事件详情下,您可以查看:
受影响的应用程序。 如果两个或多个应用程序受到违规影响,您还可以从列表中选择该应用程序。
图表显示所有违规行为
违规发生时间
检测消息表明 POST 请求总数为 Slow Loris 攻击
NXDOMAIN 洪水攻击是一种分布式拒绝服务 (DDoS) 攻击,它可以针对 DNS 服务器或 NetScaler 实例(配置为 DNS 代理服务器)并发送大量不存在或无效的请求。 此攻击可能会影响 DNS 服务器或 NetScaler 实例,导致速度变慢或请求得不到响应。
使用 NXDOMAIN 洪水攻击 指标,您可以分析导致 NXDOMAIN 攻击的请求。
建议采取 措施来解决问题:
检查 DNS 服务器和 DNS 代理服务器上是否存在异常高的资源消耗。
对 NetScaler 实例的请求率实施限制
隔离并阻止可疑客户端 IP 地址
如果大多数名称都导致 NXDOMAIN,请遵循可识别的模式并配置 DNS 策略以丢弃此类请求
为了节省真实 DNS 记录的内存,请在 NetScaler 实例上配置负面记录的限制。 有关更多信息,请参阅 缓解 DNS DDoS 攻击。
在 事件详情下,您可以查看:
受影响的应用程序。 如果两个或多个应用程序受到违规影响,您还可以从列表中选择该应用程序。
图表显示所有违规行为
在 HTTP 异步攻击中,单个 HTTP 请求被解释为:
在这种情况下,后端服务器将第二个请求解释为来自不同的客户端。 虚拟服务器和后端服务器之间的连接可重复用于不同的请求。 如果第一个客户端请求是由恶意客户端处理并带有一些恶意数据,则下一个客户端请求可能会有定制请求。 此活动可能通过滥用两个标头的组合(内容长度和传输编码)引发攻击。
使用 HTTP 异步攻击 指标,您可以分析 NetScaler 实例是否可能受到由于以下情况而发生的 HTTP 异步攻击:
单个 HTTP 事务中的内容长度和传输编码标头
单个 HTTP 事务中具有不同值的多个内容长度标头
推荐操作 建议您考虑删除无效的 HTTP 事务。
在 事件详情下,您可以查看:
受影响的应用程序。 如果两个或多个应用程序受到此违规影响,您还可以从列表中选择该应用程序。
图表显示了违规详情。 将鼠标指针悬停在条形图上可查看无效请求/响应的总数。
违规检测消息,指示请求/响应总数:
包含多个具有不同值的内容长度标头
包含内容长度和传输编码标头
NetScaler 实例检测加密消息的给定字节序列在解密时是否具有正确的填充格式。
使用 Bleichenbacher Attack 指标,您可以分析 NetScaler 实例是否收到任何带有错误加密数据的 SSL/TLS 握手连接。
推荐操作 表示不需要进一步操作,因为 NetScaler 实例终止了握手连接并减轻了此攻击。
在 事件详情下,您可以查看:
受影响的应用程序。 如果两个或多个应用程序受到此违规影响,您还可以从列表中选择该应用程序。
图表显示了违规详情。 将鼠标悬停在条形图上可以查看检测到的错误握手连接总数。
违规检测消息,指示虚拟服务器上包含错误加密数据的握手连接总数。
段 Smack 攻击 是一种拒绝服务 (DoS) 攻击,攻击者可以在 TCP 会话期间发送无序的小尺寸数据包。 这些定制的 TCP 数据包可能会影响 CPU 和内存,并导致 NetScaler 实例拒绝服务。
使用 Segment Smack Attack 指标,您可以分析 NetScaler 实例是否收到了比配置的队列限制更多的 TCP 数据包。 有关更多信息,请参阅 TCP 配置。
作为管理员,无需采取进一步措施,因为 NetScaler 实例会通过丢弃所有多余的 TCP 数据包来缓解此攻击。
在 事件详情下,您可以查看:
受影响的 NetScaler 实例
图表显示了违规详情。 将鼠标悬停在条形图上即可查看检测到的错误客户端连接总数。
违规检测消息,指示断开的客户端连接总数。
SYN 洪水攻击是一种拒绝服务 (DoS) 攻击,它通过使用欺骗的 IP 地址发送数千个连接请求来影响目标机器。 当 NetScaler 实例受到 SYN Flood 攻击时,该实例会尝试为每个恶意请求打开一个连接,然后等待永远不会到达的确认数据包。
TCP 配置文件中的 SYNCOOKIE 可防止对 NetScaler 设备的 SYN 攻击。 默认情况下,NetScaler 实例上的 SYNCOOKIE 处于启用状态。 仅当 SYNCOOKIE 被禁用时,NetScaler 实例遭受 SYN 洪水攻击的可能性才较高。
使用 SYN Flood Attack 指标,您可以分析 NetScaler 实例是否受到 SYN 攻击。
作为管理员, 推荐操作 建议您在 TCP 配置文件中启用 SYN COOKIE。
在 事件详情下,您可以查看:
受影响的应用程序。 如果两个或多个应用程序受到此违规行为的影响,您还可以从列表中选择该应用程序
SYN攻击细节图
检测消息,表示应用程序被检测到SYN攻击的总次数
小窗口攻击是一种拒绝服务 (DoS) 攻击,它通过发送数千个窗口较小或窗口大小为 0 的 TCP 数据包来影响目标机器。 窗口大小 0 表示目标机器必须停止发送任何数据,直到另行通知。 通过向目标机器发送尽可能多的类似连接,目标机器内存将被最大程度利用并变得无响应。
使用 小窗口攻击 指标,您可以分析 NetScaler 实例是否受到 sockstress 攻击。
默认情况下,NetScaler 实例通过丢弃所有此类 TCP 小窗口数据包来缓解这种攻击。 因此,作为管理员,无需采取进一步行动。
在 事件详情下,您可以查看:
受影响的应用程序。 如果两个或多个应用程序受到此违规影响,您还可以从列表中选择该应用程序。
表示攻击细节的图表。 将鼠标悬停在条形图上,可以查看检测到的 TCP 小窗口数据包总数。
指示丢弃的 TCP 小窗口数据包总数的检测消息。