Descripción del reenvío de paquetes a la interfaz de descarte
La interfaz de descarte (dsc) es una interfaz virtual que puede descartar silenciosamente los paquetes reenviados a medida que se reciben (no se envía ningún mensaje ICMP). Es útil en el caso de ataques de denegación de servicio (DoS). Una vez que conozca la dirección IP de destino, puede configurar una política para reenviar todos los paquetes recibidos en esa interfaz a la interfaz de descarte, donde se descartarán. Del mismo modo, el descarte silencioso de paquetes que no tienen una ruta válida en la tabla de reenvío asociada puede impedir que el dispositivo se convierta en un reflector de denegación de servicio distribuido (DDoS), en el que se usa una dirección IP de origen falsificada para desencadenar una avalancha de mensajes de error ICMP desde el dispositivo.
La dsc interfaz solo se puede configurar en la unidad 0 de la interfaz física dada y solo se admite una dsc instancia por dispositivo.
Configure un filtro de entrada si, por ejemplo, desea realizar una acción como registrar el descarte para comprender mejor la naturaleza del ataque.
[edit interfaces interface-name]
dsc {
unit 0 {
family inet {
filter {
output filter-name;
}
}
}
}
Puede configurar una política de entrada para asociar una comunidad BGP a la interfaz de descarte. Para configurar una política de entrada para asociar una comunidad a la interfaz de descarte:
[edit]
policy-options {
community community-name members [ community-id ];
policy-statement statement-name {
term term-name {
from community community-name;
then {
next-hop address; # Remote end of the point-to-point interface
accept;
}
}
}
}
Configure una política de salida para configurar la comunidad en las rutas inyectadas en la red:
[edit]
policy-options {
policy-statement statement-name {
term term-name {
from prefix-list name;
then community (set | add | delete) community-name;
}
}
}