ADC

HTTP/2 DoSの軽減

Http/2 サービス拒否(DoS)攻撃は、NetScalerアプライアンスに影響を与えなくなりました。アプライアンスが最大制限を超えるフレームを受信すると、アプライアンスはサイレントに接続を閉じます。

攻撃を軽減するために、HTTPプロファイルを使用すると、HTTP/2 接続で受信したフレームのデフォルト構成を変更できます。

HTTP/2 DoS 緩和の表には 、HTTP/2 DoS 攻撃とその緩和策のリストが示されています。

コマンドラインインターフェイスを使用してDoS攻撃を軽減するHTTP/2フレームの上限を設定します

コマンドプロンプトで、次のように入力します:

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer> -http2MaxRxResetFramesPerMin <value>

例:

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20 -http2MaxRxResetFramesPerMin 100

NetScaler GUIを使用して、HTTP/2接続で受信するフレームの上限を設定します

以下の手順に従って、HTTP/2 接続で受信するフレームの上限を設定します。

  1. ナビゲーションペインで [ システム ] を展開し、[ プロファイル] をクリックします。
  2. プロファイル 」ページで、「 HTTP プロファイル 」タブを選択します。
  3. [ HTTP プロファイル ] タブページで、[ 追加] をクリックします。
  4. HTTP プロファイルの設定 」ページで、次のパラメータを設定します。

    1. http2MaxPingFramesPerMin. 1 分間に接続ごとに受信する PING フレームの最大数を設定します。PINGフレームの数が構成された制限を超えると、NetScalerは接続上のパケットをサイレントにドロップします。

    2. http2MaxSettingsFramesPerMin。1 分間に接続ごとに受信する SETTINGS フレームの最大数を設定します。SETTINGSフレームの数が構成された制限を超えると、NetScalerは接続上のパケットをサイレントにドロップします。

    3. http2MaxResetFramesPerMin。1 分間に接続ごとに送信される RESET フレームの最大数を設定します。RESETフレームの数が構成された制限を超えると、NetScalerは接続上のパケットをサイレントにドロップします。

    4. http2MaxEmptyFramesPerMin。1 回の接続で 1 分間に送信される空フレームの最大数を設定します。空のフレーム数が構成された制限を超えると、NetScalerは接続上のパケットをサイレントにドロップします。

    5. 1 分あたりの HTTP 2 最大受信回数/リセットフレーム数。接続ごとに 1 分間に受信する RESET フレームの最大数を設定します。RESETフレームの数が構成された制限を超えると、NetScalerは接続上のパケットをドロップします。

  5. OK」をクリックして「閉じる」をクリックします。

    HTTP/2 DoS 軽減機能の GUI 設定

HTTP/2 DoSの軽減