Citrix Application Delivery Management 13.0

ネットワーク違反の詳細

HTTPスローロリス

Slow loris はサービス拒否攻撃で、HTTP ヘッダーを可能な限り低速でターゲットアプリケーションに送信できます。ターゲットアプリケーションは、ヘッダーの到着を待つことを余儀なくされ、複数の同様の接続が開かれると、要求を処理するためにすぐに利用できなくなる可能性があります。Citrix ADC インスタンスが大量のHTTP要求を受信すると、HTTPヘッダーが増加し、要求を完了するのに時間がかかります。このプロセスは、アプリケーションサーバーのリソースを使い果たし、HTTP Slow Loris攻撃を引き起こす可能性があります。

HTTP Slow Loris インジケーターを使用すると、スローロリスの攻撃につながったリクエストを分析できます。

スローロリス

問題をトラブルシューティングするための 推奨処置

  • 不完全なヘッダー遅延(InComphdRDelay)の設定を小さい値に設定することを検討してください。

  • デフォルトでは、Citrix ADC インスタンスはこれらの不完全な要求を削除します。

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • スローロリス攻撃として不完全な要求合計を示す検出メッセージ

DNSスローロリス

DNSスローロリスインジケータは、Citrix ADC が複数のパケットにまたがる多数のDNS要求を受信したときに検出します。このプロセスは、DNSサーバのリソースを使い果たし、DNSスローロリスの攻撃につながる可能性があります。デフォルトでは、Citrix ADC インスタンスはこれらのDNSスローロリス要求をドロップし、この問題のトラブルシューティングにこれ以上の操作は必要ありません。

DNSスローロリス

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • DNSリクエストの合計をスローロリス攻撃として示す検出メッセージ

HTTP スローポスト

Slow Post は、HTTP POST ヘッダーをターゲットアプリケーションに送信できるサービス拒否攻撃です。ヘッダーでは、本文メッセージのサイズは正しく指定されていますが、メッセージ本文は低速で送信されます。ターゲットアプリケーションは待機を余儀なくされ、同様の接続が複数開かれると、すぐに要求を処理できなくなる可能性があります。

このプロセスは、アプリケーションサーバーのリソースを使い果たし、HTTPスローポスト攻撃を引き起こす可能性があります。

HTTP スローポスト インジケーターを使用すると、スローポスト攻撃の原因となるリクエストを分析できます。

HTTPスローポスト

Citrix ADC HTTPプロファイルで要求タイムアウトを有効にして構成するには、この問題のトラブルシューティングを行う 推奨アクション 。詳しくは、「HTTP 構成」を参照してください。

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • POST要求合計をスローロリス攻撃として示す検出メッセージ

NxDomain フラッド攻撃

NxDomain Flood Attack は分散型サービス拒否 (DDoS) 攻撃で、DNS サーバーまたは ADC インスタンス (DNS プロキシサーバーとして構成されている) を標的とし、大量の非存在または無効な要求を送信する可能性があります。この攻撃は、DNS サーバーまたは ADC インスタンスに影響を与える可能性があります。その結果、速度が低下したり、要求が応答を受けたりしません。

NxDomain フラッドアタック インジケータを使用すると、NxDomain 攻撃の原因となったリクエストを分析できます。

nxdomain

問題をトラブルシューティングするための 推奨処置

  • DNS サーバーと DNS プロキシサーバーの両方で、リソース消費量が異常に多いかどうかを確認します。

  • Citrix ADC インスタンスでリクエストレートを制限する

  • 疑わしいクライアントIPアドレスの分離とブロック

  • ほとんどの名前が NxDomain になる場合は、識別可能なパターンに従い、そのような要求を削除するように DNS ポリシーを構成します。

  • 正規のDNSレコードのメモリを節約するには、Citrix ADC インスタンスでネガティブレコードの制限を構成します。詳しくは、「DNS DDoS 攻撃の軽減」を参照してください。

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

ネットワーク違反の詳細