ADC

HTTP/2 DoSの軽減

Http/2 サービス拒否(DoS)攻撃は、NetScaler ADCアプライアンスに影響を与えなくなりました。アプライアンスが最大制限を超えるフレームを受信すると、アプライアンスはサイレントに接続を閉じます。

攻撃を軽減するために、HTTPプロファイルを使用すると、HTTP/2 接続で受信したフレームのデフォルト構成を変更できます。

HTTP/2 DoS 緩和の表には 、HTTP/2 DoS 攻撃とその緩和策のリストが示されています。

コマンドラインインターフェイスを使用してDoS攻撃を軽減するHTTP/2フレームの上限を設定します

コマンドプロンプトで、次のように入力します。

set ns httpprofile <profile_name> - http2MaxEmptyFramesPerMin <positive_integer> -http2MaxPingFramesPerMin <positive_integer> -http2MaxSettingsFramesPerMin <positive_integer> -http2MaxResetFramesPerMin <positive_integer>

例:

set ns httpprofile profile1 -http2MaxEmptyFramesPerMin 20 -http2MaxPingFramesPerMin 20 -http2MaxSettingsFramesPerMin 20 -http2MaxResetFramesPerMin 20

NetScaler GUIを使用して、HTTP/2接続で受信するフレームの上限を設定します

以下の手順に従って、HTTP/2 接続で受信するフレームの上限を設定します。

  1. ナビゲーションペインで [ システム ] を展開し、[ プロファイル] をクリックします。
  2. プロファイル 」ページで、「 HTTP プロファイル 」タブを選択します。
  3. [ HTTP プロファイル ] タブページで、[ 追加] をクリックします。
  4. HTTP プロファイルの設定 」ページで、次のパラメータを設定します。

    1. http2MaxPingFramesPerMin. 1 分間に接続ごとに受信する PING フレームの最大数を設定します。PING フレームの数が設定制限を超えると、アプライアンスは接続上のパケットをサイレントにドロップします。

    2. http2MaxSettingsFramesPerMin. 1 分間に接続ごとに受信する SETTINGS フレームの最大数を設定します。SETTINGS フレームの数が設定制限を超えると、ADC は接続上のパケットをサイレントにドロップします。

    3. http2MaxResetFramesPerMin. 1 分間に接続ごとに送信される RESET フレームの最大数を設定します。RESET フレームの数が設定制限を超えると、ADC は接続上のパケットをサイレントにドロップします。

    4. http2MaxEmptyFramesPerMin. 1 回の接続で 1 分間に送信される空フレームの最大数を設定します。空のフレームの数が設定制限を超えると、ADC は接続上のパケットをサイレントにドロップします。

  5. OK」をクリックして「閉じる」をクリックします。

    HTTP/2 DoS 軽減機能の GUI 設定

HTTP/2 DoSの軽減