基于每秒数据包数 (pps) 的监管器概述
在现代网络环境中,拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击非常常见。随着时间的推移,这些攻击已经从暴力攻击类型攻击演变而来,攻击者可能会试图用大量定向流量超出连接的可用带宽,而是使用较小数据包的更低和更慢的攻击,以较慢的速率发送以针对特定资源以拒绝服务。
自 Junos OS 9.6 版以来,基于接口和基于过滤器的流量监管器可用于缓解暴力类型的 DDoS 攻击。这些监管器的运作方式是通过逻辑接口限制流量速率,或者将流量速率限制为防火墙过滤器内的 非终止操作 。
在 Junos OS 15.1 版及更早版本中,有两个参数可用于监管器:带宽和突发大小。带宽参数的度量单位为位/秒 (bps),突发大小参数的度量单位为字节 (B)。有关详细信息,请参阅 监管器带宽和突发大小限制 。监管器带宽和突发大小限制在这些参数中定义的监管器无法有效阻止低速和慢速类型的 DDoS 攻击。
从 Junos OS 16.1 版开始,可以使用每秒数据包数 (pps) 和 and 语句来定义流量监管器。pps-limitpacket-burst 的 度量单位是每秒数据包数 (pps),度量 单位是数据包。pps-limitpacket-burst 这些基于 pps 的监管器在缓解低速和慢速类型的 DDoS 攻击方面更有效。
配置了该 语句的监管器的应用方式和位置与基于带宽的监管器相同。if-exceeding-pps 基于 PPS 的监管器不能与基于带宽的监管器同时应用。一次只能应用一个监管器,但分层监管器除外,分层监管器允许根据流量分类配置两个监管操作。