ADC

HTTP/2 DoS 缓解

Http/2 拒绝服务 (DoS) 攻击不再对 Citrix ADC 设备产生任何影响。如果设备接收的帧数超过最大限制,则设备将以静默方式关闭连接。

为了减轻攻击,HTTP 配置文件允许您更改 HTTP/2 连接中接收帧的默认配置。

HTTP/2 DoS 缓解 表显示了 HTTP/2 DoS 攻击的列表及其缓解措施。

使用命令行界面配置 HTTP/2 帧的最大限制,以减轻 DoS 攻击

在命令提示符下,键入以下内容:

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer>

示例:

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20

使用 Citrix ADC GUI 配置 HTTP/2 连接中接收的帧的最大限制

请按照以下步骤配置 HTTP/2 连接中接收的帧的最大限制:

  1. 在导航窗格上,展开“系统”,然后单击“配置文件”。
  2. 在“配置文件”页上,选择“HTTP 配置文件”选项卡。
  3. HTTP 配置文件选项卡页中,单击添加
  4. 在“配置 HTTP 配置文件”页面中,设置以下参数。

    1. http2MaxPingFramesPerMin。设置一分钟内每个连接接收到的最大 PING 帧。如果 PING 帧数超出配置限制,设备将以静默方式丢弃连接上的数据包。

    2. http2MaxSettingsFramesPerMin。设置一分钟内每个连接接收到的最大设置帧。如果设置帧数超出配置限制,ADC 将以静默方式丢弃连接上的数据包。

    3. http2MaxResetFramesPerMin。设置每个连接在一分钟内发送的最大 RESET 帧数。如果 RESET 帧数超出配置限制,ADC 将在连接上静默丢弃数据包。

    4. http2MaxEmptyFramesPerMin。设置每个连接在一分钟内发送的最大空帧。如果空帧数超过配置限制,ADC 将在连接上静默丢弃数据包。

  5. 单击确定关闭

    HTTP/2 DoS 缓解 GUI 配置

HTTP/2 DoS 缓解