ADC

Mitigación de DoS HTTP/2

Los ataques de denegación de servicio (DoS) de Http/2 ya no tienen ningún impacto en un dispositivo NetScaler. Si el dispositivo recibe más fotogramas que el límite máximo, cierra la conexión de forma silenciosa.

Para mitigar los ataques, el perfil HTTP le permite cambiar la configuración predeterminada de tramas recibidas en una conexión HTTP/2.

La tabla de mitigación de DoS HTTP/2 muestra la lista de ataques DoS HTTP/2 y su mitigación.

Configure el límite máximo para tramas HTTP/2 para mitigar los ataques DoS mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba lo siguiente:

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer> -http2MaxRxResetFramesPerMin <value>

Ejemplo:

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20 -http2MaxRxResetFramesPerMin 100

Configure el límite máximo de fotogramas recibidos en una conexión HTTP/2 mediante la interfaz gráfica de usuario de NetScaler

Siga los pasos que se indican a continuación para configurar el límite máximo de fotogramas recibidos en una conexión HTTP/2:

  1. En el panel de navegación, expanda Sistema y, a continuación, haga clic en Perfiles.
  2. En la página de perfil, seleccione la ficha Perfiles HTTP.
  3. En la ficha Perfiles HTTP, haga clic en Agregar.
  4. En la página Configurar perfil HTTP, defina el siguiente parámetro.

    1. HTTP2/MaxPingFramespermin. Establece el número máximo de fotogramas PING recibidos por conexión en un minuto. Si el número de tramas PING supera el límite configurado, NetScaler descarta los paquetes de la conexión de forma silenciosa.

    2. Http2/MaxSettingsFramespermin. Establece el número máximo de fotogramas SETTINGS recibidos por conexión en un minuto. Si el número de tramas SETTINGS supera el límite configurado, NetScaler descarta los paquetes de la conexión de forma silenciosa.

    3. Http2MaxResetFramespermin. Establece el número máximo de fotogramas RESET enviados por conexión en un minuto. Si el número de tramas RESET supera el límite configurado, NetScaler descarta los paquetes de la conexión de forma silenciosa.

    4. HTTP2MaxEmptyFramespermin. Establece el número máximo de fotogramas vacíos enviados por conexión en un minuto. Si el número de marcos vacíos supera el límite configurado, NetScaler descarta los paquetes de la conexión de forma silenciosa.

    5. http://2MaxRxResetFramespermin. Establezca el número máximo de fotogramas RESET recibidos por conexión en un minuto. Si el número de tramas RESET supera el límite configurado, NetScaler descarta los paquetes de la conexión.

  5. Haga clic en Aceptar y Cerrar.

    Configuración de la GUI de mitigación de HTTP/2 DoS

Mitigación de DoS HTTP/2