폐기 인터페이스로 패킷 전달 이해
폐기() 인터페이스는 전달된 패킷이 수신될 때(ICMP 메시지가 전송되지 않음) 조용히 폐기할 수 있는 가상 인터페이스입니다.dsc 이는 DoS(Denial-of-Service) 공격의 경우에 유용합니다. 대상이 되는 IP 주소를 알게 되면 해당 인터페이스에서 수신된 모든 패킷을 폐기 인터페이스로 전달하여 삭제되도록 정책을 구성할 수 있습니다. 마찬가지로, 연결된 포워딩 테이블에 유효한 경로가 없는 패킷을 조용히 삭제하면 디바이스가 스푸핑된 소스 IP 주소를 사용하여 디바이스에서 ICMP 오류 메시지의 플러드를 트리거하는 분산 서비스 거부(DDoS) 리플렉터가 되는 것을 방지할 수 있습니다.
인터페이스는 주어진 물리적 인터페이스의 유닛 0에서만 구성할 수 있으며 디바이스당 하나의 인스턴스만 지원됩니다.dscdsc
예를 들어, 공격의 특성을 더 잘 이해하기 위해 폐기 로깅과 같은 작업을 수행하려는 경우 입력 필터를 구성합니다.
[edit interfaces interface-name]
dsc {
unit 0 {
family inet {
filter {
output filter-name;
}
}
}
}
BGP 커뮤니티를 폐기 인터페이스와 연결하도록 입력 정책을 구성할 수 있습니다. 커뮤니티를 폐기 인터페이스와 연결하도록 입력 정책을 구성하려면:
[edit]
policy-options {
community community-name members [ community-id ];
policy-statement statement-name {
term term-name {
from community community-name;
then {
next-hop address; # Remote end of the point-to-point interface
accept;
}
}
}
}
출력 정책을 구성하여 네트워크에 삽입된 경로에 커뮤니티를 설정합니다.
[edit]
policy-options {
policy-statement statement-name {
term term-name {
from prefix-list name;
then community (set | add | delete) community-name;
}
}
}