Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation du mécanisme de contrôle basé sur les paquets par seconde (pps)

Dans un environnement réseau moderne, les attaques par déni de service (DoS) et par déni de service distribué (DDoS) sont très courantes. Au fil du temps, ces attaques ont évolué, passant d’attaques par force brute, où l’attaquant peut essayer d’envahir la bande passante disponible d’une connexion avec une grande quantité de trafic dirigé, à des attaques plus lentes qui utilisent des paquets plus petits, envoyés à un rythme plus lent pour cibler des ressources spécifiques afin de refuser le service.

Depuis la version 9.6 de Junos OS, les mécanismes de contrôle du trafic, basés sur l’interface et les filtres, sont disponibles pour atténuer les attaques DDoS de type force brute. Ces mécanismes de contrôle opèrent en limitant le débit de trafic par le biais d’une interface logique ou en limitant le débit de trafic en tant qu’action non terminante au sein d’un filtre de pare-feu.

Dans Junos OS version 15.1 et les versions antérieures, deux paramètres étaient disponibles pour les mécanismes de contrôle : la bande passante et la taille des rafales. L’unité de mesure du paramètre de bande passante est le bit par seconde (bps) et l’unité de mesure du paramètre de taille de rafale est l’octet (B). Pour plus d’informations, reportez-vous à la section Limites de bande passante et de taille de rafale du mécanisme de contrôle . Les mécanismes de contrôle définis dans ces paramètres ne sont pas efficaces pour arrêter les attaques DDoS de type faible ou lent.

À partir de Junos OS version 16.1, les mécanismes de contrôle du trafic peuvent être définis à l’aide de paquets par seconde (pps) avec les pps-limit instructions and packet-burst . L’unité de mesure pps-limit est le nombre de paquets par seconde (pps) et l’unité de mesure est packet-burst le nombre de paquets. Ces mécanismes de contrôle basés sur pps sont plus efficaces pour atténuer les types d’attaques DDoS faibles ou lentes.

Les mécanismes de contrôle configurés avec l’instruction sont appliqués de la même manière et aux mêmes emplacements que les mécanismes de contrôle basés sur la if-exceeding-pps bande passante. Les mécanismes de contrôle basés sur pps ne peuvent pas être appliqués simultanément avec les mécanismes de contrôle basés sur la bande passante. Un seul mécanisme de contrôle peut être appliqué à la fois, à l’exception des mécanismes de contrôle hiérarchiques, qui permettent de configurer deux actions de contrôle en fonction de la classification du trafic.

Rubriques connexes