HTTP/2 DoS-Abschwächung

Die Http/2 Denial-of-Service (DoS) -Angriffe haben keine Auswirkungen mehr auf eine Citrix ADC Appliance. Wenn die Appliance Frames empfängt, die mehr als das Maximallimit überschreiten, schließt die Appliance die Verbindung automatisch.

Um Angriffe zu mildern, können Sie mithilfe des HTTP-Profils die Standardkonfiguration von Frames ändern, die in einer HTTP/2-Verbindung empfangen werden.

DieHTTP/2 DoS-AbschwächungTabelle zeigt die Liste der HTTP/2-DoS-Angriffe und deren Minderung.

Konfigurieren der Maximalgrenze für HTTP/2-Frames zur Minderung von DoS-Angriffen mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer>

Beispiel:

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20

Konfigurieren der Höchstgrenze für Frames, die in einer HTTP/2-Verbindung empfangen werden, mit der Citrix ADC GUI

Führen Sie die folgenden Schritte aus, um das Maximallimit für Frames zu konfigurieren, die in einer HTTP/2-Verbindung empfangen wurden:

  1. Erweitern Sie im Navigationsbereich System, und klicken Sie dann auf Profile .
  2. Wählen Sie auf der Seite Profil die Registerkarte HTTP-Profile .
  3. Klicken Sie auf der Registerkarte HTTP-Profile auf Hinzufügen .
  4. Legen Sie auf der Seite HTTP-Profil konfigurieren den folgenden Parameter fest.

    1. http2MaxPingFramesPerMin. Legen Sie die maximal pro Verbindung empfangenen Ping-Frames in einer Minute fest. Wenn die Anzahl der PING-Frames die Konfigurationsgrenze überschreitet, löscht die Appliance automatisch Pakete auf der Verbindung.

    2. http2MaxSettingsFramesPerMin. Stellen Sie die maximalen SETTINGS-Frames pro Verbindung in einer Minute ein. Wenn die Anzahl der SETTINGS-Frames die Konfigurationsgrenze überschreitet, löscht ADC automatisch Pakete aus der Verbindung.

    3. http2MaxResetFramesPerMin. Stellen Sie die maximalen RESET Frames pro Verbindung in einer Minute ein. Wenn die Anzahl der RESET Frames die Konfigurationsgrenze überschreitet, löscht ADC automatisch Pakete auf der Verbindung.

    4. http2MaxEmptyFramesPerMin. Legen Sie die maximalen leeren Frames pro Verbindung in einer Minute fest. Wenn die Anzahl der leeren Frames die Konfigurationsgrenze überschreitet, löscht ADC automatisch Pakete auf der Verbindung.

  5. Klicken Sie auf OK und Schließen.

    HTTP/2 DoS-Abschwächung GUI-Konfiguration