廃棄インターフェイスへのパケット転送について
破棄(dsc)インターフェイスは、転送されたパケットを受信時にサイレントに破棄できる仮想インターフェイスです(ICMPメッセージは送信されません)。これは、サービス拒否(DoS)攻撃の場合に役立ちます。ターゲットとなるIPアドレスがわかったら、そのインターフェイスで受信したすべてのパケットを破棄インターフェイスに転送するポリシーを設定できます。同様に、関連付けられた転送テーブルに有効なルートがないパケットを気付かれることなく破棄することで、デバイスが分散型サービス拒否(DDoS)リフレクタになり、なりすましされた送信元IPアドレスを使用してデバイスからの大量のICMPエラーメッセージをトリガーするのを防ぐことができます。
dsc インターフェイスは、特定の物理インターフェイスのユニット 0 でのみ設定でき、デバイスごとに 1 つの dsc インスタンスのみがサポートされます。
たとえば、攻撃の性質をよりよく理解するために破棄をログに記録するなどのアクションを実行する場合は、入力フィルターを構成します。
[edit interfaces interface-name]
dsc {
unit 0 {
family inet {
filter {
output filter-name;
}
}
}
}
BGP コミュニティを廃棄インターフェイスに関連付ける入力ポリシーを設定できます。コミュニティを破棄インターフェイスに関連付ける入力ポリシーを設定するには、次の手順に従います。
[edit]
policy-options {
community community-name members [ community-id ];
policy-statement statement-name {
term term-name {
from community community-name;
then {
next-hop address; # Remote end of the point-to-point interface
accept;
}
}
}
}
ネットワークに注入されたルート上にコミュニティを設定するための出力ポリシーを設定します。
[edit]
policy-options {
policy-statement statement-name {
term term-name {
from prefix-list name;
then community (set | add | delete) community-name;
}
}
}