Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de Policer basado en paquetes por segundo (pps)

En un entorno de red moderno, tanto los ataques de denegación de servicio (DoS) como los de denegación de servicio distribuido (DDoS) son muy comunes. Con el tiempo, estos ataques han evolucionado de tipos de ataques de fuerza bruta, donde el atacante podría intentar invadir el ancho de banda disponible de una conexión con una gran cantidad de tráfico dirigido a ataques más bajos y lentos que usan paquetes más pequeños, enviados a una velocidad más lenta para apuntar a recursos específicos con el fin de negar el servicio.

Los aplicadores de políticas de tráfico, tanto basados en interfaces como en filtros, han estado disponibles para mitigar los tipos de fuerza bruta de ataques DDoS desde la versión 9.6 de Junos OS. Estas políticas funcionan limitando la velocidad de tráfico a través de una interfaz lógica o limitando la velocidad de tráfico como la acción de no terminación dentro de un filtro de firewall.

En Junos OS versión 15.1 y versiones anteriores, había dos parámetros disponibles para los aplicadores: ancho de banda y tamaño de ráfaga. La unidad de medida para el parámetro de ancho de banda son bits por segundo (bps) y la unidad de medida para el parámetro de tamaño de ráfaga es bytes (B). Consulte Límites de ancho de banda y tamaño de ráfaga de Policer para obtener más información.Límites de ancho de banda y tamaño de ráfaga de Policer Los aplicadores definidos dentro de estos parámetros no son eficaces para detener los tipos de ataques DDoS lentos y bajos.

A partir de Junos OS versión 16.1, las políticas de tráfico se pueden definir mediante paquetes por segundo (pps) con las instrucciones y .pps-limitpacket-burst La unidad de medida para son los paquetes por segundo (pps) y la unidad de medida para son los paquetes.pps-limitpacket-burst Estos aplicadores de políticas basados en pps son más eficaces para mitigar los tipos de ataques DDoS lentos y bajos.

Los politrizadores configurados con la instrucción se aplican de la misma manera y en las mismas ubicaciones que los aplicadores basados en ancho de banda.if-exceeding-pps Los aplicadores basados en PPS no se pueden aplicar simultáneamente con los aplicadores basados en ancho de banda. Solo se puede aplicar un policía a la vez, excepto para los policías jerárquicos, que permiten la configuración de dos acciones policiales basadas en la clasificación del tráfico.