ADC

Minderung von HTTP/2 DoS

Die Http/2-Denial-of-Service (DoS) -Angriffe haben keine Auswirkungen mehr auf eine NetScaler-Appliance. Wenn die Appliance mehr Frames als das maximale Limit empfängt, schließt die Appliance die Verbindung im Hintergrund.

Um Angriffe zu mildern, können Sie mithilfe des HTTP-Profils die Standardkonfiguration von Frames ändern, die in einer HTTP/2-Verbindung empfangen werden.

Die Tabelle der HTTP/2 DoS-Abschwächung zeigt die Liste der HTTP/2-DoS-Angriffe und deren Abschwächung.

Konfigurieren der Maximalgrenze für HTTP/2-Frames zur Minderung von DoS-Angriffen mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer> -http2MaxRxResetFramesPerMin <value>

Beispiel:

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20 -http2MaxRxResetFramesPerMin 100

Konfigurieren Sie das maximale Limit für Frames, die in einer HTTP/2-Verbindung empfangen werden, mithilfe der NetScaler-GUI

Gehen Sie wie folgt vor, um das maximale Limit für Frames zu konfigurieren, die über eine HTTP/2-Verbindung empfangen werden:

  1. Erweitern Sie im Navigationsbereich System und klicken Sie dann auf Profile.
  2. Wählen Sie auf der Profilseite die Registerkarte HTTP-Profile aus.
  3. Klicken Sie auf der Registerkarte HTTP-Profile auf Hinzufügen.
  4. Stellen Sie auf der Seite HTTP-Profil konfigurieren den folgenden Parameter ein.

    1. http2MaxPingFramesPerMin. Stellen Sie die maximale Anzahl der pro Verbindung empfangenen PING-Frames in einer Minute ein. Wenn die Anzahl der PING-Frames das konfigurierte Limit überschreitet, verwirft NetScaler automatisch Pakete auf der Verbindung.

    2. http2MaxSettingsFramesPerMin. Stellen Sie die maximale Anzahl von SETTINGS-Frames ein, die pro Verbindung in einer Minute empfangen werden. Wenn die Anzahl der SETTINGS-Frames das konfigurierte Limit überschreitet, verwirft NetScaler automatisch Pakete auf der Verbindung.

    3. http2MaxResetFramesPerMin. Stellen Sie die maximale Anzahl von RESET-Frames ein, die pro Verbindung in einer Minute gesendet werden. Wenn die Anzahl der RESET-Frames das konfigurierte Limit überschreitet, verwirft NetScaler automatisch Pakete auf der Verbindung.

    4. http2MaxEmptyFramesPerMin. Stellen Sie die maximale Anzahl leerer Frames ein, die pro Verbindung in einer Minute gesendet werden. Wenn die Anzahl leerer Frames das konfigurierte Limit überschreitet, verwirft NetScaler automatisch Pakete auf der Verbindung.

    5. http2MaxRxResetFramesPerMin. Stellen Sie die maximale Anzahl der RESET-Frames ein, die pro Verbindung in einer Minute empfangen werden. Wenn die Anzahl der RESET-Frames das konfigurierte Limit überschreitet, verwirft NetScaler Pakete auf der Verbindung.

  5. Klicken Sie auf OK und schließen.

    HTTP/2 DoS-Abschwächung GUI-Konfiguration

Minderung von HTTP/2 DoS