Atténuation des attaques DoS HTTP/2

Les attaques par déni de service (DoS) Http/2 n’ont plus d’impact sur une appliance Citrix ADC. Si l’appliance reçoit des images supérieures à la limite maximale, l’appliance ferme silencieusement la connexion.

Pour atténuer les attaques, le profil HTTP vous permet de modifier la configuration par défaut des trames reçues dans une connexion HTTP/2.

LeAtténuation des attaques DoS HTTP/2tableau présente la liste des attaques HTTP/2 DoS et ses mesures d’atténuation.

Configurez la limite maximale pour les trames HTTP/2 afin d’atténuer les attaques DoS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez ce qui suit :

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer>

Exemple :

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20

Configurez la limite maximale pour les trames reçues dans une connexion HTTP/2 à l’aide de l’interface graphique Citrix ADC

Suivez les étapes ci-dessous pour configurer la limite maximale pour les images reçues dans une connexion HTTP/2 :

  1. Dans le volet de navigation, développez Système, puis cliquez sur Profils.
  2. Dans la page Profil, sélectionnez l’onglet Profils HTTP.
  3. Dans la page de l’onglet Profils HTTP, cliquez sur Ajouter.
  4. Dans la page Configurer le profil HTTP, définissez le paramètre suivant.

    1. http2MaxPingFramesPerMin. Définissez le nombre maximal de trames PING reçues par connexion en une minute. Si le nombre de trames PING dépasse la limite de configuration, l’appliance supprime silencieusement les paquets sur la connexion.

    2. http2MaxSettingsFramesPerMin. Définissez le nombre maximal d’images de paramètres reçues par connexion en une minute. Si le nombre de trames SETTINGS dépasse la limite de configuration, ADC supprime silencieusement les paquets sur la connexion.

    3. http2MaxResetFramesPerMin. Définissez le nombre maximal d’images RESET envoyées par connexion en une minute. Si le nombre de trames RESET dépasse la limite de configuration, ADC supprime silencieusement les paquets sur la connexion.

    4. http2MaxEmptyFramesPerMin. Définissez le nombre maximal de trames vides envoyées par connexion en une minute. Si le nombre de trames vides dépasse la limite de configuration, ADC supprime silencieusement les paquets sur la connexion.

  5. Cliquez sur OK et Fermer.

    Configuration de l'interface graphique d'atténuation des déni HTTP/2