ADC

Mitigación de DoS HTTP/2

Los ataques de denegación de servicio (DoS) de Http/2 ya no tienen ningún impacto en un dispositivo NetScaler. Si el dispositivo recibe más fotogramas que el límite máximo, cierra la conexión de forma silenciosa.

Para mitigar los ataques, el perfil HTTP le permite cambiar la configuración predeterminada de tramas recibidas en una conexión HTTP/2.

La tabla de mitigación de DoS HTTP/2 muestra la lista de ataques DoS HTTP/2 y su mitigación.

Configure el límite máximo para tramas HTTP/2 para mitigar los ataques DoS mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba lo siguiente:

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer>

Ejemplo:

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20

Configure el límite máximo de fotogramas recibidos en una conexión HTTP/2 mediante la interfaz gráfica de usuario de NetScaler

Siga los pasos que se indican a continuación para configurar el límite máximo de fotogramas recibidos en una conexión HTTP/2:

  1. En el panel de navegación, expanda Sistema y, a continuación, haga clic en Perfiles.
  2. En la página de perfil, seleccione la ficha Perfiles HTTP .
  3. En la ficha Perfiles HTTP, haga clic en Agregar.
  4. En la página Configurar perfil HTTP, defina el siguiente parámetro.

    1. HTTP2/MaxPingFramespermin. Establece el número máximo de fotogramas PING recibidos por conexión en un minuto. Si el número de tramas de PING supera el límite de configuración, el dispositivo descarta los paquetes de forma silenciosa en la conexión.

    2. Http2/MaxSettingsFramespermin. Establece el número máximo de fotogramas SETTINGS recibidos por conexión en un minuto. Si el número de marcos SETTINGS supera el límite de configuración, ADC descarta los paquetes de forma silenciosa en la conexión.

    3. Http2MaxResetFramespermin. Establece el número máximo de fotogramas RESET enviados por conexión en un minuto. Si el número de tramas RESET supera el límite de configuración, ADC descarta los paquetes de forma silenciosa en la conexión.

    4. HTTP2MaxEmptyFramespermin. Establece el número máximo de fotogramas vacíos enviados por conexión en un minuto. Si el número de fotogramas vacíos supera el límite de configuración, ADC descarta los paquetes de forma silenciosa en la conexión.

  5. Haga clic en Aceptar y Cerrar.

    Configuración de la GUI de mitigación de HTTP/2 DoS

Mitigación de DoS HTTP/2