Schicht 3-4 SYN Denial-of-Service-Schutz

Jede Citrix ADC Appliance mit der Systemsoftwareversion 8.1 oder höher bietet automatisch Schutz vor SYN DoS-Angriffen.

Um einen solchen Angriff zu starten, initiiert ein Hacker eine große Anzahl von TCP-Verbindungen, reagiert aber nicht auf die SYN-ACK-Nachrichten, die vom betroffenen Server gesendet werden. Die Quell-IP-Adressen in den vom Server empfangenen SYN-Nachrichten werden in der Regel gefälscht. Da neue SYN-Nachrichten eintreffen, bevor die halboffenen Verbindungen, die von früheren SYN-Nachrichten initiiert wurden, Timeout, erhöht sich die Anzahl solcher Verbindungen, bis der Server nicht mehr über genügend Arbeitsspeicher verfügt, um neue Verbindungen zu akzeptieren. Im Extremfall kann der Systemspeicherstapel überlaufen.

Eine Citrix ADC Appliance schützt gegen SYN-Flutangriffe, indem sie SYN-Cookies verwendet, anstatt halboffene Verbindungen auf dem Systemspeicher-Stack beizubehalten. Die Appliance sendet ein Cookie an jeden Client, der eine TCP-Verbindung anfordert, aber die Zustände halboffener Verbindungen werden nicht beibehalten. Stattdessen weist die Appliance Systemspeicher für eine Verbindung nur bei Empfang des endgültigen ACK-Pakets oder bei HTTP-Datenverkehr beim Empfang einer HTTP-Anforderung zu. Dadurch werden SYN-Angriffe verhindert und die normale TCP-Kommunikation mit legitimen Clients unterbrechungsfrei fortgesetzt.

SYN DoS-Schutz auf der Citrix ADC Appliance stellt Folgendes sicher:

  • Der Speicher des Citrix ADC wird nicht mit falschen SYN-Paketen verschwendet. Stattdessen wird Speicher verwendet, um legitime Clients zu bedienen.
  • Die normale TCP-Kommunikation mit legitimen Clients wird ununterbrochen, auch wenn die Website unter SYN-Überschwemmungsangriff steht.

Da die Citrix ADC Appliance erst nach Erhalt einer HTTP-Anforderung Speicher für den HTTP-Verbindungsstatus zuweist, schützt sie Websites vor intakten Verbindungsangriffen.

SYN DoS-Schutz auf Ihrer Citrix ADC Appliance erfordert keine externe Konfiguration. Sie ist standardmäßig aktiviert.

SYN-Cookies deaktivieren

SYN-Cookies sind standardmäßig auf einer Citrix ADC Appliance aktiviert, um SYN-Angriffe zu verhindern. Wenn Ihre Bereitstellung erfordert, dass Sie SYN-Cookies deaktivieren, z. B. für serverinitiierte Datenverbindungen oder in Fällen, in denen keine Verbindung hergestellt wird, weil das erste Paket gelöscht oder neu sortiert wird, verwenden Sie eine der folgenden Methoden, um SYN-Cookies zu deaktivieren.

Deaktivieren von SYN-Cookies mithilfe der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

set nstcpprofile nstcp_default_profile -synCookie DISABLED

Argumente:

synCookie

Aktivieren oder deaktivieren Sie den SYNCOOKIE Mechanismus für TCP-Handshake mit Clients. Das Deaktivieren von SYNCOOKIE verhindert den SYN-Angriffsschutz auf der Citrix ADC Appliance.

Mögliche Werte: ENABLED, DISABLED

Standard: ENABLED

Deaktivieren von SYN-Cookies mithilfe der GUI

  1. Navigieren Sie zu System > Profile > TCP-Profile .
  2. Wählen Sie ein Profil aus und klicken Sie auf Bearbeiten.
  3. Deaktivieren Sie das Kontrollkästchen TCP SYN Cookie .
  4. Klicken Sie auf OK.

Schicht 3-4 SYN Denial-of-Service-Schutz