Wie zu begrenzen Verkehr auf Junos Router-Interfaces
Um eine Art von Denial-of-Service (DoS) Angriff auf Junos Router zu vereiteln, können Sie Junos policers nutzen den Router zu sagen, was die Auswirkungen eines solchen Angriffs zu tun, zu begrenzen.
Einige DoS-Angriffe auf Router arbeiten, indem Sie den Router mit dem Verkehr überschwemmt, so viel Verkehr zu senden Schnittstellen an den Router so schnell, dass die Schnittstellen sind überfordert und können nicht den normalen Verkehr behandeln, die durch die Schnittstelle werden geben sollte.
Eine Methode, um diesen Angriff zu bekämpfen, ist Junos Wachern zu verwenden, die Sie angeben können, wenn Sie die Aktion ein Firewall-Filter definieren sollte nehmen. Wachern können Sie Grenzen für die Menge des Verkehrs (oder auch nur eine Art von Verkehr) zu platzieren, dass eine Schnittstelle empfangen kann, die die Auswirkungen von DoS-Attacken zu begrenzen.
Wachern steuern die maximal zulässige Bandbreite (die durchschnittliche Anzahl der Bits pro Sekunde) und die maximal zulässige Größe eines einzelnen Burst-Verkehr, wenn die Bandbreitengrenze überschritten wird. Der gesamte Datenverkehr über der eingestellten Grenzwerte wird verworfen.
Überwacher sind in der Aktion verwendet (dann) Teil eines Firewall-Filter. Um sie in einer Firewall-Filter zu verwenden, definieren Sie zuerst die policer. Im folgenden Beispiel wird eine policer genannt Polizei-ssh-telnet dass eine Höchstverkehrsrate (Bandbreite) von 1 Mbps und die maximale Größe eines Verkehrs Burst die diese Grenze überschreiten (Burst-Größe) von 25K. Verkehr diese Grenzen überschreitet, wird verworfen.
[Bearbeiten Firewall] fred @ Router # set policer Polizei-ssh-Telnet-if-Überschreitung der Bandbreite-Limit 1m [Bearbeiten Firewall] fred @ Router # set policer Polizei-ssh-Telnet-if-Überschreitung Burst-size-Limit 25k [Bearbeiten Firewall] fred @ Router # set policer Polizei-ssh-telnet dann verwerfen
Dann schließen die policer in einer Firewall-Filterwirkung. Zum Beispiel, können Sie es mit einem SSH-Telnet-Firewall-Filter hinzufügen, die in Existenz ist bereits auf der Loopback-Schnittstelle des Routers:
[Bearbeiten Firewall] fred @ Router # set Filter Limit-ssh-telnet Begriff Zugang Zeit dann policerpolice-ssh-telnet [bearbeiten Firewall] fred @ Router # set Filter Limit-ssh-telnet Begriff Zugriff Zeit dann akzeptieren
Datenverkehr, der an die Grenzen der policer entspricht die Aktion, die Sie in der Firewall Begriff angeben nehmen - in diesem Fall wird es angenommen - während Verkehr, die die Grenzen in der policer überschreitet, wird die Aktion nehmen dort angegeben - in diesem Fall ist es verworfen.
Rate-Begrenzung des Verkehrsflusses auf der Routing-Engine von Überwachern zu definieren, ist eine gute Sicherheitspraxis der Routing-Engine von überwältigt von unerwünschten Datenverkehr oder durch mögliche Angriffe auf den Router zu verhindern. Alle Routing-Protokoll Prozesse laufen auf dem Routing Engine, die auf den Kern Betrieb des Routers selbst kritisch ist. Wenn diese Verfahren können nicht normal ausgeführt wird, kann das Ergebnis eine Destabilisierung des Netzwerks sein.