Entender o encaminhamento de pacotes para a interface de descarte
A interface de descarte édsc uma interface virtual que pode descartar silenciosamente pacotes encaminhados conforme eles são recebidos (nenhuma mensagem de ICMP é enviada). É útil no caso de ataques de negação de serviço (DoS). Depois de conhecer o endereço IP que está sendo direcionado, você pode configurar uma política para encaminhar todos os pacotes recebidos nessa interface para a interface de descarte, onde eles serão descartados. Da mesma forma, descartar silenciosamente pacotes que não têm rota válida na tabela de encaminhamento associada pode impedir que o dispositivo se torne um refletor de negação de serviço distribuído (DDoS), no qual um endereço IP de origem falsificado é usado para desencadear uma inundação de mensagens de erro do ICMP do dispositivo.
A dsc interface só pode ser configurada na unidade 0 da interface física dada, e apenas uma dsc instância por dispositivo é suportada.
Configure um filtro de entrada se, por exemplo, você quiser tomar uma ação como registrar o descarte para entender melhor a natureza do ataque.
[edit interfaces interface-name]
dsc {
unit 0 {
family inet {
filter {
output filter-name;
}
}
}
}
Você pode configurar uma política de entrada para associar uma comunidade BGP à interface de descarte. Para configurar uma política de entrada para associar uma comunidade à interface de descarte:
[edit]
policy-options {
community community-name members [ community-id ];
policy-statement statement-name {
term term-name {
from community community-name;
then {
next-hop address; # Remote end of the point-to-point interface
accept;
}
}
}
}
Configure uma política de saída para configurar a comunidade nas rotas injetadas na rede:
[edit]
policy-options {
policy-statement statement-name {
term term-name {
from prefix-list name;
then community (set | add | delete) community-name;
}
}
}