Visão geral do policial baseado em packets por segundo (pps)
Em um ambiente de rede moderno, tanto ataques de negação de serviço (DoS) quanto de negação de serviço distribuído (DDoS) são muito comuns. Com o tempo, esses ataques evoluíram de tipos brutos de ataques, onde o invasor pode tentar ultrapassar a largura de banda disponível de uma conexão com uma vasta quantidade de tráfego direcionado para ataques mais baixos e lentos que usam pacotes menores, enviados a uma taxa mais lenta para atingir recursos específicos, a fim de negar serviço.
Os policiais de tráfego, baseados em interface e baseados em filtro, estão disponíveis para mitigar tipos brutos de ataques DDoS desde o Junos OS Release 9.6. Esses policiais operam limitando a taxa de tráfego por uma interface lógica ou limitando a taxa de tráfego como a ação não sufocante dentro de um filtro de firewall.
No Junos OS Release 15.1 e versões anteriores, havia dois parâmetros disponíveis para os policiais: largura de banda e tamanho de explosão. A unidade de medida para o parâmetro de largura de banda é bits por segundo (bps), e a unidade de medida para o parâmetro de tamanho de explosão é bytes (B). Consulte os limites de largura de banda e tamanho de explosão do policial para obter detalhes. Os policiais definidos dentro desses parâmetros não são eficazes para parar tipos baixos e lentos de ataques DDoS.
A partir do Junos OS Release 16.1, os policiais de tráfego podem ser definidos usando pacotes por segundo (pps) com as declarações e packet-burst
declaraçõespps-limit
. A unidade de medida para pps-limit
pacotes por segundo (pps) e a unidade de medida para packet-burst
pacotes são. Esses policiais baseados em PPS são mais eficazes na mitigação de tipos baixos e lentos de ataques DDoS.
Os policiais configurados com a if-exceeding-pps
declaração são aplicados da mesma maneira e nos mesmos locais que os policiais baseados em largura de banda. Os policiais baseados em PPS não podem ser aplicados simultaneamente com policiais baseados em largura de banda. Apenas um policial pode ser aplicado de cada vez, exceto para policiais hierárquicos, que permitem a configuração de duas ações de policiamento com base na classificação do tráfego.