Details zu Netzwerkverletzungen

HTTP Slow Loris

Slow Loris ist ein Denial-of-Service-Angriff, der HTTP-Header so langsam wie möglich an die Zielanwendung senden kann. Die Zielanwendung ist gezwungen, auf die Ankunft von Headern zu warten und kann auch schnell nicht mehr verfügbar sein, um Anfragen zu bearbeiten, wenn mehrere ähnliche Verbindungen geöffnet werden. Wenn eine Citrix ADC Instanz eine hohe Anzahl von HTTP-Anforderungen empfängt, erhöht sich der HTTP-Header und benötigt lange Zeit, um die Anforderungen abzuschließen. Dieser Prozess kann Anwendungsserver-Ressourcen ausschöpfen und zu HTTP Slow Loris Angriff führen.

Mit dem HTTP Slow Loris Indikator können Sie die Anforderungen analysieren, die zu einem Slow Loris-Angriff führen.

Langsame Loris

Die empfohlenen Aktionen zur Behebung des Problems:

  • Ziehen Sie in Betracht, die unvollständige Header Delay (incompHdrDelay)-Konfiguration auf einen kleineren Wert zu optimieren.

  • Standardmäßig löscht die Citrix ADC Instanz diese unvollständigen Anforderungen.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung, die die Gesamtzahl unvollständiger Anfragen als Slow Loris-Angriff angibt

DNS Slow Loris

Der Indikator DNS Slow Loris erkennt, wenn ein Citrix ADC eine hohe Anzahl von DNS-Anforderungen empfängt, die mehr als ein Paket umfassen. Dieser Prozess kann DNS-Serverressourcen ausschöpfen und zu DNS Slow Loris Angriff führen. Standardmäßig löscht die Citrix ADC Instanz diese Slow Loris DNS-Anforderungen, und es sind keine weiteren Maßnahmen erforderlich, um dieses Problem zu beheben.

DNS Slow Loris

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung, die die Gesamtzahl der DNS-Anforderungen als Slow Loris-Angriff angibt

Langsame HTTP-Post

Der Slow Post ist ein Denial-of-Service-Angriff, der HTTP-POST-Header an eine Zielanwendung senden kann. In den Kopfzeilen werden die Textnachrichtengrößen korrekt angegeben, der Nachrichtentext wird jedoch mit niedriger Geschwindigkeit gesendet. Die Zielanwendung ist gezwungen zu warten und kann auch schnell nicht mehr verfügbar sein, um Anfragen zu bearbeiten, wenn mehrere ähnliche Verbindungen geöffnet werden.

Dieser Prozess kann Anwendungsserver-Ressourcen ausschöpfen und zu einem HTTP Slow Post-Angriff führen.

Mit dem Indikator “ HTTP Slow Post “ können Sie die Anforderungen analysieren, die zu einem langsamen Nachangriff geführt haben.

Langsamer HTTP-Post

Die empfohlene Aktion zur Behebung dieses Problems zum Aktivieren und Konfigurieren von Request Timeout im Citrix ADC HTTP-Profil. Weitere Informationen finden Sie unter HTTP-Konfigurationen.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung, die die Gesamtzahl unvollständiger POST-Anfragen als Slow Loris-Angriff angibt

NXDomain-Überschwemmungsangriff

NxDomain Flood Attack ist ein DDoS-Angriff (Distributed Denial-of-Service), der auf einen DNS-Server oder eine ADC-Instanz (die als DNS-Proxyserver konfiguriert ist) abzielen und ein hohes Volumen von nicht vorhandenen oder ungültigen Anforderungen senden kann. Dieser Angriff kann sich auf den DNS-Server oder die ADC-Instanz auswirken, was zu einer Verlangsamung oder Anfragen führt, die keine Antwort erhalten.

Mit dem Indikator “ NxDomain-Überschwemmungsangriff “ können Sie die Anforderungen analysieren, die zu einem NxDomain-Angriff geführt haben.

nxdomain

Die empfohlenen Aktionen zur Behebung des Problems:

  • Überprüfen Sie auf ungewöhnlich hohen Ressourcenverbrauch sowohl auf DNS-Server als auch auf DNS-Proxy-Server.

  • Erzwingen eines Limit für die Anforderungsrate in der Citrix ADC Instanz

  • Isolieren und Blockieren verdächtiger Client-IP-Adressen

  • Wenn die meisten Namen zu NxDomain führen, folgen Sie einem identifizierbaren Muster und konfigurieren Sie DNS-Richtlinien, um solche Anforderungen zu löschen.

  • Um Speicher für echte DNS-Einträge zu sparen, konfigurieren Sie ein Limit für negative Datensätze in der Citrix ADC Instanz. Weitere Informationen finden Sie unter Minderung von DNS-DDoS-Angriffen.

Unter Ereignisdetails können Sie Folgendes anzeigen:

  • Die betroffene Anwendung. Sie können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen mit Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt