Citrix ADC

HTTP/2 DoS の軽減

HTTP/2のサービス拒否(DoS)攻撃は、Citrix ADCアプライアンスに影響を与えなくなりました。アプライアンスが最大制限を超えるフレームを受信すると、アプライアンスは接続をサイレントに閉じます。

攻撃を軽減するために、HTTP プロファイルを使用すると、HTTP/2 接続で受信されるフレームのデフォルト設定を変更できます。

このHTTP/2 DoS の軽減 表は、HTTP/2 DoS 攻撃とその緩和策のリストを示しています。

コマンドラインインターフェイスを使用して、DoS 攻撃を緩和するための HTTP/2 フレームの最大制限を設定する

コマンドプロンプトで、次のように入力します。

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer>

例:

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20

Citrix ADC GUIを使用して、HTTP/2接続で受信するフレームの最大制限を構成する

HTTP/2 接続で受信するフレームの最大制限を設定するには、次の手順に従います。

  1. ナビゲーションウィンドウで、[システム] を展開し、[プロファイル] をクリックします。
  2. [プロファイル] ページで、[HTTP プロファイル] タブを選択します。
  3. [HTTP プロファイル] タブページで、[追加] をクリックします。
  4. [HTTP プロファイルの設定] ページで、次のパラメータを設定します。

    1. http2MaxPingFramesPerMin. 接続ごとに受信する最大 PING フレームを 1 分単位で設定します。PINGフレーム数が構成制限を超えた場合、アプライアンスは接続上のパケットをサイレントにドロップします。

    2. http2MaxSettingsFramesPerMin. 接続ごとに受信する最大 SETTINGS フレームを 1 分単位で設定します。SETTINGSフレーム数が設定制限を超えた場合、ADCは接続上のパケットをサイレントにドロップします。

    3. http2MaxResetFramesPerMin. 接続ごとに送信される最大 RESET フレームを 1 分単位で設定します。RESETフレーム数が設定制限を超えた場合、ADCは接続上のパケットをサイレントにドロップします。

    4. http2MaxEmptyFramesPerMin. 接続ごとに送信される最大空フレームを 1 分単位で設定します。空のフレーム数が設定制限を超えた場合、ADC は接続上のパケットをサイレントにドロップします。

  5. [OK] をクリックして 閉じるをクリックします。

    HTTP/2 DoS 軽減機能の GUI 設定

HTTP/2 DoS の軽減