HTTP/2 Mitigación de DoS

Los ataques de denegación de servicio (DoS) Http/2 ya no tienen ningún impacto en un dispositivo Citrix ADC. Si el dispositivo recibe tramas superiores al límite máximo, el dispositivo cierra silenciosamente la conexión.

Para mitigar los ataques, el perfil HTTP le permite cambiar la configuración predeterminada de tramas recibidas en una conexión HTTP/2.

La tabla HTTP/2 Mitigación de DoS muestra la lista de ataques HTTP/2 DoS y su mitigación.

Configure el límite máximo para tramas HTTP/2 para mitigar los ataques DoS mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba lo siguiente:

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer>

Ejemplo:

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20

Configure el límite máximo de tramas recibidas en una conexión HTTP/2 mediante la GUI de Citrix ADC

Siga los pasos que se indican a continuación para configurar el límite máximo de tramas recibidas en una conexión HTTP/2:

  1. En el panel de navegación, expanda Sistema y, a continuación, haga clic en Perfiles.
  2. En la página Perfil, seleccione la ficha Perfiles HTTP.
  3. En la página de la ficha Perfiles HTTP, haga clic en Agregar.
  4. En la página Configurar perfil HTTP, establezca el siguiente parámetro.

    1. http2MaxPingFramesPerMin. Establezca el máximo de tramas PING recibidas por conexión en un minuto. Si el número de tramas PING supera el límite de configuración, el dispositivo descarta paquetes de forma silenciosa en la conexión.

    2. http2MaxSettingsFramesPerMin. Establezca el máximo de tramas SETTINGS recibidas por conexión en un minuto. Si el número de tramas SETTINGS supera el límite de configuración, ADC descarta paquetes de forma silenciosa en la conexión.

    3. http2MaxResetFramesPerMin. Establezca el máximo de tramas RESET enviadas por conexión en un minuto. Si el número de tramas RESET supera el límite de configuración, ADC descarta paquetes de forma silenciosa en la conexión.

    4. http2MaxEmptyFramesPerMin. Establezca el máximo de tramas vacías enviadas por conexión en un minuto. Si el número de tramas vacías supera el límite de configuración, ADC descarta paquetes de forma silenciosa en la conexión.

  5. Haga clic en Aceptar y Cerrar.

    Configuración de la GUI de mitigación de HTTP/2 DoS