Citrix Application Delivery Management 服务

网络违规详细信息

HTTP 慢洛里斯

S@@low loris 是一种拒绝服务攻击,它可以尽可能慢地向目标应用程序发送 HTTP 标头。目标应用程序被迫等待头到达,并且如果打开多个类似的连接,也可能很快无法处理请求。当 Citrix ADC 实例收到大量 HTTP 请求时,HTTP 标头会增加,并且需要很长时间才能完成请求。此过程可能会耗尽应用程序服务器资源并导致 HTTP Slow Loris 攻击。

使用 HTTP Slow Loris 指标,您可以分析导致 HTTP 慢洛里斯攻击的 请求。

**慢洛里斯**

解决问题的 建议操作

  • 考虑将不完整的报头延迟 (InComphDrDelay) 配置调整为较小的值。

  • 默认情况下,Citrix ADC 实例会删除这些不完整的请求。

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 指示所有违规的图形

  • 违规发生时间

  • 检测消息指示未完成请求总数为 慢 Loris 攻击

DNS 慢洛里斯

DNS Slow Loris 指示器检测 Citrix ADC 何时收到跨多个数据包的大量 DNS 请求。此过程可能会耗尽 DNS 服务器资源并导致 DNS Slow Loris 攻击。默认情况下,Citrix ADC 实例会丢弃这些 DNS 缓慢的 loris 请求,无需进一步操作来解决此问题。

**DNS 慢洛里斯**

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 指示所有违规的图形

  • 违规发生时间

  • 指示 DNS 请求总数为 慢 loris 攻击的检测消息

HTTP 慢速发布

慢速发布 是一种拒绝服务攻击,它可以向目标应用程序发送 HTTP POST 标头。在标头中,正文消息大小指定正确,但消息正文以低速发送。目标应用程序被迫等待,如果打开多个类似的连接,也可能很快无法处理请求。

此过程可能会耗尽应用程序服务器资源并导致 HTTP 慢 Post 攻击。

使用 HTTP 慢速开机自检 指示器,您可以分析导致缓慢后攻击的请求。

HTTP 慢速发布

解决此问题的 建议操作 以启用和配置 Citrix ADC HTTP 配置文件中的请求超时。有关详细信息,请参阅HTTP 配置

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 指示所有违规的图形

  • 违规发生时间

  • 指示 POST 请求总数为 慢洛里 斯攻击的检测消息

NXDOMAIN Flood 攻击

NXDOMAIN 泛滥攻击 是一种分布式拒绝服务 (DDoS) 攻击,可以针对 DNS 服务器或 ADC 实例(配置为 DNS 代理服务器),并发送大量不存在或无效的请求。此攻击可能会影响 DNS 服务器或 ADC 实例,从而导致速度放慢或请求未得到响应。

使用 NXDOMAIN 洪水攻击 指示器,您可以分析请求是否导致 NXDOMAIN 攻击。

NXDOMAIN

解决问题的 建议操作

  • 检查 DNS 服务器和 DNS 代理服务器上的资源消耗是否异常高。

  • 在 Citrix ADC 实例上强制执行请求速率限制

  • 隔离和阻止可疑客户端 IP 地址

  • 如果大多数名称导致 NXDOMAIN,请遵循可识别模式并配置 DNS 策略以删除此类请求

  • 要为真正的 DNS 记录节省内存,请为 Citrix ADC 实例上的负记录配置限制。有关详细信息,请参阅缓解 DNS DDoS 攻击

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,您也可以从列表中选择应用程序。

  • 指示所有违规的图形

HTTP Desync 攻击

在 HTTP Desync 攻击中,单个 HTTP 请求被解释为:

  • 向前端服务器(虚拟服务器)发出单个请求
  • 向后端服务器发出 2 个请求

在这种情况下,后端服务器解释第二个请求来自其他客户端。虚拟服务器和后端服务器之间的连接将被重复用于不同的请求。如果第一个客户端请求是从恶意客户端处理并含有一些恶意数据的,则下一个客户端请求可能具有自定义请求。此活动可能会通过滥用两个标题(内容长度和传输编码)的组合来引起攻击。

使用 HTTP Desync 攻击指示器,您可以分析 Citrix ADC 实例是否可能受到由于以下情况而发生的 HTTP Desync 攻击:

  • 单个 HTTP 事务中的内容长度和传输编码标头

  • 单个 HTTP 事务中有多个具有不同值的内容长度标头

    HTTP Desync 攻击

建议的操作 建议您考虑删除无效的 HTTP 交易。

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到此违规的影响,也可以从列表中选择应用程序。

  • 表示违规详细信息的图表。将鼠标指针悬停在条形图上可查看无效请求/回复的总数。

  • 违规的检测消息,指示请求/响应总数:

    • 包含多个具有不同值的内容长度标题

    • 包含内容长度和传输编码头

BleichenBacher 攻击

Citrix ADC 实例在解密时检测加密邮件的给定字节序列是否具有正确的填充格式。

使用 Bleichenbacher 攻击指示器,您可以分析 Citrix ADC 实例是否收到任何带有错误加密数据的 SSL/TLS 握手连接。

BleichenBacher

建议的操作 ” 表示无需进一步操作,因为 Citrix ADC 实例会终止握手连接并缓解此攻击。

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到此违规的影响,也可以从列表中选择应用程序。

  • 表示违规详细信息的图表。将鼠标点悬停在条形图上可查看检测到的错误握手连接总数。

  • 违规的检测消息,指示虚拟服务器上带有错误加密数据的握手连接总数。

Segment Smack 攻击

Segment Sack 攻击 是拒绝服务 (DoS) 攻击,攻击者可以在 TCP 会话期间发送无序的小型数据包。这些自定义的 TCP 数据包可能会影响 CPU 和内存,并导致 Citrix ADC 实例上的服务遭拒。

使用 Segment Smack 指示器,您可以分析 Citrix ADC 实例收到的 TCP 数据包是否超过配置的队列限制。有关详细信息,请参阅TCP 配置

Segment Smack 攻击

作为管理员,无需进一步操作,因为 Citrix ADC 实例通过丢弃所有这些多余的 TCP 数据包来缓解此攻击。

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的 Citrix ADC 实例

  • 表示违规详细信息的图表。将鼠标指针悬停在条形图上可查看检测到的错误客户端连接的总数。

  • 违规的检测消息,指示已断开的客户端连接总数。

    Segment Smack 攻击 1

SYN 淹没攻击

SYN 淹没攻击是一种拒绝服务 (DoS) 攻击,通过使用伪造的 IP 地址发送数千个连接请求,可以影响目标计算机。当 Citrix ADC 实例受到 SYN Flo ver 攻击时,实例将尝试为每个恶意请求打开连接,然后等待永远不到达的确认数据包。

TCP 配置文件中的 SY NCOOKIE 可防止对 Citrix ADC 设备的 SYN 攻击。默认情况下,ADC 实例上的 SYNCOOKIE 处于启用状态。仅当 SYNCOOKIE 禁用时,Citrix ADC 实例在 SYN 洪水攻击下的可能性很高。有关详细信息,请参阅第 3—4 层 SYN 拒绝服务保护

使用 SYN 淹没攻击 指示器,您可以分析 Citrix ADC 实例是否受到 SYN 攻击。

SYN 淹没袭击

作为管理员,建议的操作建议您在 TCP 配置文件中启用 SYN COOKIE

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到此违规的影响,您也可以从列表中选择应用程序

  • 指示 SYN 攻击详细信息的图表

  • 检测消息,指示使用 SYN 攻击检测到应用程序的总次数

小窗口攻击

小窗口攻击 是一种拒绝服务 (DoS) 攻击,通过发送数千个窗口较小或窗口大小为 0 的 TCP 数据包,可以影响目标计算机。窗口大小为 0 表示目标计算机必须停止发送更多的数据,直到另行通知为止。通过向目标计算机发送尽可能多的类似连接,目标计算机内存可以最大限度地利用并变得无响应。

使用 小窗口攻击 指示器,您可以分析 Citrix ADC 实例是否受到 sockstress 攻击。

小窗口攻击

默认情况下,Citrix ADC 实例通过丢弃所有此类 TCP 小窗口数据包来缓解此攻击。因此,作为管理员,无需进一步操作。

在 “ 事件详细信息” 下,您可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到此违规的影响,也可以从列表中选择应用程序。

  • 指示攻击详细信息的图表。将鼠标点悬停在条形图上可查看检测到的 TCP 小窗口数据包的总数。

  • 指示丢弃的 TCP 小窗口数据包总数的检测消息。

网络违规详细信息