基于每秒数据包数 (pps) 的监管器概述
在现代网络环境中,拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击非常常见。随着时间的推移,这些攻击已经从暴力攻击类型攻击演变而来,攻击者可能会试图用大量定向流量超出连接的可用带宽,而是使用较小数据包的更低和更慢的攻击,以较慢的速率发送以针对特定资源以拒绝服务。
自 Junos OS 9.6 版以来,基于接口和基于过滤器的流量监管器可用于缓解暴力类型的 DDoS 攻击。这些监管器的运作方式是通过逻辑接口限制流量速率,或者将流量速率限制为防火墙过滤器内的 非终止操作 。
在 Junos OS 15.1 版及更早版本中,有两个参数可用于监管器:带宽和突发大小。带宽参数的度量单位为位/秒 (bps),突发大小参数的度量单位为字节 (B)。有关详细信息,请参阅 监管器带宽和突发大小限制 。在这些参数中定义的监管器无法有效阻止低速和慢速类型的 DDoS 攻击。
从 Junos OS 16.1 版开始,可以使用每秒数据包数 (pps) 和 pps-limit
packet-burst
and 语句来定义流量监管器。的 pps-limit
度量单位是每秒数据包数 (pps),度量 packet-burst
单位是数据包。这些基于 pps 的监管器在缓解低速和慢速类型的 DDoS 攻击方面更有效。
配置了该 if-exceeding-pps
语句的监管器的应用方式和位置与基于带宽的监管器相同。基于 PPS 的监管器不能与基于带宽的监管器同时应用。一次只能应用一个监管器,但分层监管器除外,分层监管器允许根据流量分类配置两个监管操作。