Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

1秒あたりのパケット (pps) ベースのポリサーの概要

最新のネットワーク環境では、サービス拒否 (DoS) と分散型サービス拒否 (DDoS) 攻撃の両方が非常に一般的なものになっています。時間の間に、これらの攻撃は総当量のタイプの攻撃から進化し、攻撃者は、小さいパケットを使用する、低速の攻撃に膨大な量のダイレクト トラフィックを送り、接続の使用可能な帯域幅をオーバーランしようとする可能性があります。この攻撃は、サービスを拒否するために、より遅い速度で特定のリソースを標的に送信されます。

インターフェイスベースとフィルターベースの両方で、トラフィック・ポリサーは、リリース 9.6 Junos OS 以来、DDoS 攻撃のブルートフォースタイプを緩和するために使用されてきました。このようなポリサーは、論理インターフェイスを介してトラフィックレートを制限するか、ファイアウォールフィルター内の終端以外のアクションとしてトラフィックレートを制限することによって動作します。

Junos OS リリース15.1 以前のリリースでは、ポリサーでは次の2つのパラメーターを使用できました。帯域幅とバーストサイズ帯域幅パラメーターの測定単位は bps (ビット/秒) で、バーストサイズパラメーターの測定単位はバイト (B) です。詳細については、ポリサーの帯域幅とバーストサイズの制限を参照してください。これらのパラメーター内で定義されたポリサーは、低レベルで低速なタイプの DDoS 攻撃を阻止するための効果ではありません。

Junos OS リリース16.1 で開始するpps-limitと、トラフィック・ポリサーは and packet-burst文とともにパケット当たり1秒 (pps) を使用して定義できます。測定pps-limit単位はパケット/秒 (pps) で、測定packet-burst単位はパケット数です。これらの pps ベースのポリサーは、低と低速の DDoS 攻撃を緩和するうえで、より効果的です。

このif-exceeding-ppsステートメントで構成されたポリサーは、同じ方法で、帯域幅ベースのポリサーと同じ場所に適用されます。Pps ベースのポリサーは、帯域幅ベースのポリサーを同時に適用することはできません。1つのポリサーを適用できるのは、階層化されたポリサーではありません。これにより、トラフィックの分類に基づいて2つの適用ポリシーの設定が可能になります。