了解如何将数据包转发到丢弃接口
丢弃 () 接口是一个虚拟接口,可以在收到转发的数据包时以静默方式丢弃这些数据包(不发送 ICMP 消息)。dsc
它在拒绝服务 (DoS) 攻击的情况下很有用。知道目标 IP 地址后,您可以配置一个策略,以将该接口上收到的所有数据包转发到丢弃接口,在那里这些数据包将被丢弃。同样,以静默方式丢弃关联转发表中没有有效路由的数据包可以防止设备成为分布式拒绝服务 (DDoS) 反射器,其中欺骗性的源 IP 地址用于触发来自设备的大量 ICMP 错误消息。
只能在给定物理接口的第 0 单元上配置接口,并且每个设备仅支持一个实例。dsc
dsc
例如,如果要执行诸如记录丢弃之类的操作以更好地了解攻击的性质,请配置输入筛选器。
[edit interfaces interface-name] dsc { unit 0 { family inet { filter { output filter-name; } } } }
您可以配置输入策略以将 BGP 社区与丢弃接口相关联。要配置输入策略以将社区与丢弃接口相关联,请执行以下操作:
[edit] policy-options { community community-name members [ community-id ]; policy-statement statement-name { term term-name { from community community-name; then { next-hop address; # Remote end of the point-to-point interface accept; } } } }
配置输出策略以在注入网络的路由上设置社区:
[edit] policy-options { policy-statement statement-name { term term-name { from prefix-list name; then community (set | add | delete) community-name; } } }