ADC

HTTP/2 DoS の軽減

Http/2 サービス拒否(DoS)攻撃は、Citrix ADCアプライアンスに影響を与えなくなりました。アプライアンスが最大制限を超えるフレームを受信した場合、アプライアンスはサイレントに接続を閉じます。

攻撃を軽減するために、HTTPプロファイルを使用すると、HTTP/2 接続で受信したフレームのデフォルト構成を変更できます。

HTTP/2 DoS 緩和の表には 、HTTP/2 DoS 攻撃とその緩和策のリストが示されています。

コマンドラインインターフェイスを使用してDoS攻撃を軽減するHTTP/2フレームの上限を設定します

コマンドプロンプトで、次のように入力します。

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer>

例:

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20

Citrix ADC GUIを使用して、HTTP/2接続で受信するフレームの最大制限を構成する

HTTP/2 接続で受信するフレームの最大制限を設定するには、次の手順に従います。

  1. ナビゲーションウィンドウで、[システム] を展開し、[プロファイル] をクリックします。
  2. [プロファイル] ページで、[HTTP プロファイル] タブを選択します。
  3. [HTTP プロファイル] タブページで、[追加] をクリックします。
  4. [HTTP プロファイルの設定] ページで、次のパラメータを設定します。

    1. http2MaxPingFramesPerMin. 接続ごとに受信する最大 PING フレームを 1 分単位で設定します。PINGフレーム数が構成制限を超えた場合、アプライアンスは接続上のパケットをサイレントにドロップします。

    2. http2MaxSettingsFramesPerMin. 接続ごとに受信する最大 SETTINGS フレームを 1 分単位で設定します。SETTINGSフレーム数が設定制限を超えた場合、ADCは接続上のパケットをサイレントにドロップします。

    3. http2MaxResetFramesPerMin. 接続ごとに送信される最大 RESET フレームを 1 分単位で設定します。RESETフレーム数が設定制限を超えた場合、ADCは接続上のパケットをサイレントにドロップします。

    4. http2MaxEmptyFramesPerMin. 接続ごとに送信される最大空フレームを 1 分単位で設定します。空のフレーム数が設定制限を超えた場合、ADC は接続上のパケットをサイレントにドロップします。

  5. [ OK]をクリックして[閉じる]をクリックします。

    HTTP/2 DoS 軽減機能の GUI 設定

HTTP/2 DoS の軽減