Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de la policía basada en paquetes por segundo (pps)

En un entorno de red moderno, los ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS) son muy comunes. Con el tiempo, estos ataques han evolucionado desde tipos de ataques de fuerza bruta, en los que el atacante podría tratar de sobrepasar el ancho de banda disponible de una conexión con una gran cantidad de tráfico dirigido, a ataques más bajos y lentos que utilizan paquetes más pequeños, enviados a un ritmo más lento para dirigir recursos específicos con el fin de negar el servicio.

Las políticas de tráfico, tanto basadas en interfaz como en filtros, han estado disponibles para mitigar los tipos de ataques de DDoS de fuerza bruta desde la versión 9.6 de Junos OS. Estos policiadores operan limitando la velocidad de tráfico a través de una interfaz lógica o limitando la velocidad de tráfico como acción no específica dentro de un filtro de firewall.

En junos OS versión 15.1 y versiones anteriores, había dos parámetros disponibles para los policiadores: ancho de banda y tamaño de ráfaga. La unidad de medida para el parámetro de ancho de banda es bits por segundo (bps) y la unidad de medida para el parámetro de tamaño de ráfaga es bytes (B). Consulte El ancho de banda de Policer y los límites de tamaño de ráfagas para obtener más detalles. Los agentes de policía definidos en estos parámetros no son eficaces para detener los tipos de ataques de DDoS bajos y lentos.

A partir de Junos OS versión 16.1, los agentes de policía de tráfico se pueden definir mediante paquetes por segundo (pps) con las pps-limit instrucciones y packet-burst . La unidad de medida para pps-limit son paquetes por segundo (pps) y la unidad de medida para packet-burst son paquetes. Estos policiadores basados en pps son más eficaces para mitigar los tipos bajos y lentos de ataques de DDoS.

Los policias configurados con la if-exceeding-pps instrucción se aplican de la misma manera y en las mismas ubicaciones que los policías basados en el ancho de banda. Los policiadores basados en PPs no se pueden aplicar simultáneamente con los policias basados en ancho de banda. Solo se puede aplicar un agente de policía a la vez, excepto para los policías jerárquicos, que permiten la configuración de dos acciones de vigilancia basadas en la clasificación del tráfico.

Temas relacionados