Comprendre le transfert de paquets vers l’interface de rejet
L’interface discard (dsc) est une interface virtuelle qui peut ignorer silencieusement les paquets transférés au fur et à mesure qu’ils sont reçus (aucun message ICMP n’est envoyé). Il est utile dans le cas d’une attaque par déni de service (DoS). Une fois que vous connaissez l’adresse IP ciblée, vous pouvez configurer une stratégie pour transférer tous les paquets reçus sur cette interface vers l’interface de rejet, où ils seront abandonnés. De même, l’élimination silencieuse des paquets qui n’ont pas de route valide dans la table de transfert associée peut empêcher le périphérique de devenir un réflecteur de déni de service distribué (DDoS), dans lequel une adresse IP source usurpée est utilisée pour déclencher un flot de messages d’erreur ICMP à partir du périphérique.
L’interface dsc ne peut être configurée que sur l’unité 0 de l’interface physique donnée, et une seule dsc instance par périphérique est prise en charge.
Configurez un filtre d’entrée si, par exemple, vous souhaitez effectuer une action telle que l’enregistrement de la suppression pour mieux comprendre la nature de l’attaque.
[edit interfaces interface-name]
dsc {
unit 0 {
family inet {
filter {
output filter-name;
}
}
}
}
Vous pouvez configurer une stratégie d’entrée pour associer une communauté BGP à l’interface de rejet. Pour configurer une stratégie d’entrée afin d’associer une communauté à l’interface de rejet :
[edit]
policy-options {
community community-name members [ community-id ];
policy-statement statement-name {
term term-name {
from community community-name;
then {
next-hop address; # Remote end of the point-to-point interface
accept;
}
}
}
}
Configurez une stratégie de sortie pour configurer la communauté sur les routes injectées dans le réseau :
[edit]
policy-options {
policy-statement statement-name {
term term-name {
from prefix-list name;
then community (set | add | delete) community-name;
}
}
}