Citrix ADC

Protection par déni de service SYN couche 3-4

Toute appliance Citrix ADC dotée du logiciel système version 8.1 ou ultérieure fournit automatiquement une protection contre les attaques SYN DoS.

Pour monter une telle attaque, un pirate initie un grand nombre de connexions TCP mais ne répond pas aux messages SYN-ACK envoyés par le serveur victime. Les adresses IP source dans les messages SYN reçus par le serveur sont généralement usurpées. Étant donné que les nouveaux messages SYN arrivent avant l’expiration des connexions semi-ouvertes initiées par les messages SYN précédents, le nombre de ces connexions augmente jusqu’à ce que le serveur ne dispose plus de suffisamment de mémoire pour accepter de nouvelles connexions. Dans les cas extrêmes, la pile de mémoire système peut déborder.

Une appliance Citrix ADC se défend contre les attaques d’inondation SYN en utilisant des cookies SYN au lieu de maintenir des connexions semi-ouvertes sur la pile de mémoire système. L’appliance envoie un cookie à chaque client qui demande une connexion TCP, mais elle ne conserve pas les états des connexions semi-ouvertes. Au lieu de cela, l’appliance alloue de la mémoire système pour une connexion uniquement à la réception du paquet ACK final ou, pour le trafic HTTP, à la réception d’une requête HTTP. Cela empêche les attaques SYN et permet aux communications TCP normales avec des clients légitimes de continuer sans interruption.

La protection SYN DoS sur l’appliance Citrix ADC garantit les éléments suivants :

  • La mémoire du Citrix ADC n’est pas gaspillée sur de faux paquets SYN. Au lieu de cela, la mémoire est utilisée pour servir des clients légitimes.
  • Les communications TCP normales avec des clients légitimes se poursuivent sans interruption, même lorsque le site Web est soumis à une attaque SYN.

En outre, étant donné que l’appliance Citrix ADC alloue de la mémoire pour l’état de connexion HTTP uniquement après réception d’une requête HTTP, il protège les sites Web contre les attaques de connexion inactives.

La protection SYN DoS sur votre appliance Citrix ADC ne nécessite aucune configuration externe. Elle est activée par défaut.

Désactiver les cookies SYN

Les cookies SYN sont activés par défaut sur une appliance Citrix ADC pour empêcher les attaques SYN. Si votre déploiement nécessite la désactivation des cookies SYN, par exemple pour les connexions de données initiées par le serveur ou dans les cas où une connexion n’est pas établie parce que le premier paquet est supprimé ou réorganisé, utilisez l’une des méthodes suivantes pour désactiver les cookies SYN.

Désactiver les cookies SYN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set nstcpprofile nstcp_default_profile -synCookie DISABLED

Arguments :

synCookie

Activez ou désactivez le mécanisme SYNCOOKIE pour la poignée de main TCP avec les clients. La désactivation de SYNCOOKIE empêche la protection contre les attaques SYN sur l’appliance Citrix ADC.

Valeurs possibles : ENABLED, DISABLED

Par défaut : ENABLED

Désactiver les cookies SYN à l’aide de l’interface graphique

  1. Accédez à Système > Profils > Profils TCP .
  2. Sélectionnez un profil et cliquez sur Modifier.
  3. Désactivez la case à cocher TCP SYN Cookie .
  4. Cliquez sur OK.

Protection par déni de service SYN couche 3-4