Détails de la violation du réseau

HTTP lent Loris

Slow loris est une attaque par déni de service qui peut envoyer des en-têtes HTTP à l’application cible aussi lentement que possible. L’application cible est forcée d’attendre l’arrivée des en-têtes et peut également devenir rapidement indisponible pour traiter les demandes si plusieurs connexions similaires sont ouvertes. Lorsqu’une instance Citrix ADC reçoit un volume élevé de requêtes HTTP, l’en-tête HTTP augmente et prend beaucoup de temps pour terminer les requêtes. Ce processus peut épuiser les ressources du serveur d’applications et entraîner une attaque HTTP Slow loris.

À l’aide de l’indicateur HTTP Slow loris, vous pouvez analyser les requêtes qui se traduisent par une attaque Slow loris.

Loris lents

Les actions recommandées pour résoudre le problème :

  • Envisagez de régler la configuration incomplète de retard d’en-tête (InComphdrDelay) sur une valeur plus petite.

  • Par défaut, l’instance de Citrix ADC supprime ces demandes incomplètes.

Sous Détails de l’événement, vous pouvez afficher :

  • L’application touchée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Le message de détection indiquant le nombre total de demandes incomplètes comme une attaque lente loris

DNS Lent Loris

L’indicateur DNS Slow Loris détecte lorsqu’un Citrix ADC reçoit un nombre élevé de requêtes DNS couvrant plus d’un paquet. Ce processus peut épuiser les ressources du serveur DNS et entraîner une attaque DNS Slow loris. Par défaut, l’instance de Citrix ADC supprime ces requêtes LORIS lentes DNS et aucune autre action n’est requise pour résoudre ce problème.

DNS Lent Loris

Sous Détails de l’événement, vous pouvez afficher :

  • L’application touchée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Le message de détection indiquant le nombre total de demandes DNS comme une attaque loris lente

Publication lente HTTP

La publication lente est une attaque par déni de service qui peut envoyer des en-têtes HTTP POST à une application cible. Dans les en-têtes, les tailles de message du corps sont spécifiées correctement, mais le corps du message est envoyé à basse vitesse. L’application cible est forcée d’attendre et peut également devenir rapidement indisponible pour traiter les demandes si plusieurs connexions similaires sont ouvertes.

Ce processus peut épuiser les ressources du serveur d’applications et entraîner une attaque HTTP Slow Post.

À l’aide de l’indicateur HTTP Slow Post, vous pouvez analyser les demandes qui se traduisent par une attaque de post-post lente.

Poste lente HTTP

L’action recommandée pour résoudre ce problème pour activer et configurer le délai d’expiration de la demande dans le profil HTTP Citrix ADC. Pour de plus amples informations, consultez Configurations HTTP.

Sous Détails de l’événement, vous pouvez afficher :

  • L’application touchée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Le message de détection indiquant le nombre total de requêtes POST comme une attaque loris lente

Attaque par inondation NXDomain

NXDomain Flood Attack est une attaque par déni de service distribué (DDoS) qui peut cibler un serveur DNS ou une instance ADC (configurée en tant que serveur proxy DNS) et envoyer un volume élevé de requêtes inexistantes ou non valides. Cette attaque peut avoir un impact sur le serveur DNS ou l’instance ADC, ce qui entraîne un ralentissement ou des requêtes ne recevant pas de réponse.

À l’aide de l’indicateur NXDomain Flood Attack, vous pouvez analyser les requêtes qui se traduisent par une attaque NXDomain.

nxdomain

Les actions recommandées pour résoudre le problème :

  • Vérifiez la consommation de ressources exceptionnellement élevée sur le serveur DNS et le serveur proxy DNS.

  • Appliquer une limite pour le taux de demande sur l’instance Citrix ADC

  • Isoler et bloquer les adresses IP des clients suspects

  • Si la plupart des noms donnent lieu à NXDomain, suivez un modèle identifiable et configurez les stratégies DNS pour supprimer ces requêtes

  • Pour conserver la mémoire pour les enregistrements DNS authentiques, configurez une limite pour les enregistrements négatifs sur l’instance Citrix ADC. Pour de plus amples informations, consultez Atténuer les attaques DNS DDoS.

Sous Détails de l’événement, vous pouvez afficher :

  • L’application touchée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations