Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Pakete-pro-Sekunde (pps)-basierter Policer – Übersicht

In einer modernen Netzwerkumgebung sind sowohl Denial-of-Service- (DoS) als auch Distributed-Denial-of-Service-Angriffe (DDoS) sehr häufig. Im Laufe der Zeit haben sich diese Angriffe von Brute-Force-Angriffen, bei denen der Angreifer versuchen könnte, die verfügbare Bandbreite einer Verbindung mit einer großen Menge an gerichtetem Datenverkehr zu überlasten, zu langsameren Angriffen entwickelt, bei denen kleinere Pakete verwendet werden, die langsamer an bestimmte Ressourcen gesendet werden, um den Service zu verweigern.

Seit Junos OS Version 9.6 stehen sowohl schnittstellen- als auch filterbasierte Datenverkehrspolicer zur Verfügung, um Brute-Force-Arten von DDoS-Angriffen abzuwehren. Diese Policer arbeiten durch Begrenzung der Datenverkehrsrate über eine logische Schnittstelle oder durch Begrenzung der Datenverkehrsrate als nicht beendende Aktion innerhalb eines Firewallfilters.

In Junos OS Version 15.1 und früheren Versionen standen zwei Parameter für Policer zur Verfügung: Bandbreite und Burst-Größe. Die Maßeinheit für den Bandbreitenparameter ist Bits pro Sekunde (bps), und die Maßeinheit für den Burst-size-Parameter ist Byte (B). Weitere Informationen finden Sie unter Policer Bandwidth and Burst-Size Limits . Policer, die innerhalb dieser Parameter definiert sind, sind nicht effektiv, um langsame Arten von DDoS-Angriffen zu stoppen.

Ab Junos OS Version 16.1 können Datenverkehrspolicer mithilfe von Paketen pro Sekunde (pps) mit den pps-limit Anweisungen and packet-burst definiert werden. Die Maßeinheit für pps-limit ist Pakete pro Sekunde (pps) und die Maßeinheit für packet-burst ist Pakete. Diese PPS-basierten Policer sind effektiver bei der Abwehr langsamer DDoS-Angriffe.

Policer, die mit der if-exceeding-pps Anweisung konfiguriert sind, werden auf die gleiche Weise und an denselben Speicherorten angewendet wie bandbreitenbasierte Policer. PPS-basierte Policer können nicht gleichzeitig mit bandbreitenbasierten Policern angewendet werden. Es kann jeweils nur ein Policer angewendet werden, mit Ausnahme von hierarchischen Policern, die die Konfiguration von zwei Polizeiaktionen basierend auf der Verkehrsklassifizierung ermöglichen.

Verwandte Themen