Resumo
Frames de definições de HTTP/2 são utilizadas por pontos finais para o intercâmbio de parâmetros de definições definidas entre si. O protocolo HTTP/2 não define qualquer limite prático do número de definições de parâmetros incluídos numa moldura de definições de single (máximo permitido é 2796202) e não existe limite no número de vezes que este tipo de pacotes definições é trocada.
Um cliente malicioso utilizando HTTP/2 pode explorar este facto para tornar um sistema de servidor HTTP/2 temporariamente instável, aumentando a utilização da CPU a 100% antes das ligações são terminadas por serviços de informação Internet (IIS).
Resolução
Para resolver este problema, a Microsoft tem desde uma capacidade de definir limites no número de parâmetros de definições de HTTP/2 permitido através de uma ligação. Estes limites não são predefinidos pela Microsoft e tem de ser definidos pelo administrador de sistema depois de rever o protocolo HTTP/2 e os requisitos do ambiente.
Abaixo são aditadas as entradas de registo de dois para definir os limites:
Caminho: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Nome: Http2MaxSettingsPerFrame
Tipo: DWORD
Dados: Suportados valor mínimo 7 e máximo de 2796202. Os valores do intervalo aparadas para valor de final do correspondente Mín/Máx.
Caminho: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Nome: Http2MaxSettingsPerMinute
Tipo: DWORD
Dados: Suportados valor mínimo 7. Valor mais pequeno aparadas para o valor mínimo.
Nota: É necessário para ler os valores de registo configurados, quando são adicionados pela primeira vez ou alterados um reinício do computador ou reinício do serviço.
Com os limites estabelecidos,
-
If numa única definição moldura contém mais sparâmetros de definições de "Http2MaxSettingsPerFrame" do valor, em seguida, essa ligação é imediatamente sujeitos a occisão.
-
If o número do sDefinições parâmetros constam em vários definições pacotes recebidos no prazo de um minuto cruza "Http2MaxSettingsPerMinute" do valor, em seguida, a ligação foi cancelada.
Quando correctamente definida, acima dos dois limites ajuda em conjunto para terminar a ligação maliciosa violar esses limites e formar um limiar para ligações legítimos