pps(Packets-Per-Second) 기반 폴리서 개요
최신 네트워크 환경에서는 DoS(서비스 거부) 공격과 DDoS(분산 서비스 거부) 공격이 모두 매우 일반적입니다. 시간이 지남에 따라 이러한 공격은 공격자가 방대한 양의 직접 트래픽으로 연결의 사용 가능한 대역폭을 오버런하려고 시도할 수 있는 무차별 암호 대입 공격에서 서비스를 거부하기 위해 특정 리소스를 대상으로 더 느린 속도로 전송되는 더 작은 패킷을 사용하는 더 낮고 느린 공격으로 발전했습니다.
인터페이스 기반 및 필터 기반 트래픽 폴리서는 Junos OS 릴리스 9.6부터 무차별 암호 대입 유형의 디도스(DDoS) 공격을 완화하는 데 사용할 수 있습니다. 이러한 폴리서는 논리적 인터페이스를 통해 트래픽 속도를 제한하거나 방화벽 필터 내에서 종료되지 않는 작업으로 트래픽 속도를 제한하는 방식으로 작동합니다.
Junos OS 릴리스 15.1 및 이전 릴리스에서는 폴리서에 사용할 수 있는 두 가지 매개 변수가 있었습니다. 대역폭 및 버스트 크기. 대역폭 매개 변수의 측정 단위는 초당 비트 수(bps)이고 버스트 크기 매개 변수의 측정 단위는 바이트(B)입니다. 자세한 내용은 폴리서 대역폭 및 버스트 크기 제한을 참조하십시오. 이러한 파라미터 내에 정의된 폴리서는 저속 유형의 디도스(DDoS) 공격을 차단하는 데 효과적이지 않습니다.
Junos OS 릴리스 16.1부터 트래픽 폴리서는 및 packet-burst 문과 함께 pps-limit 초당 패킷 수(pps)를 사용하여 정의할 수 있습니다. 에 대한 pps-limit 측정 단위는 초당 패킷 수(pps)이고, 에 대한 packet-burst 측정 단위는 패킷입니다. 이러한 pps 기반 폴리서는 느리고 느린 유형의 DDoS 공격을 완화하는 데 더 효과적입니다.
명령문으로 if-exceeding-pps 구성된 폴리서는 대역폭 기반 폴리서와 동일한 방식과 동일한 위치에 적용됩니다. PPP 기반 폴리서는 대역폭 기반 폴리서와 동시에 적용할 수 없습니다. 트래픽 분류에 따라 두 개의 폴리싱 작업을 구성할 수 있는 계층적 폴리서를 제외하고 한 번에 하나의 폴리서만 적용할 수 있습니다.