Descripción del reenvío de paquetes a la interfaz de descarte
La interfaz de descarte (dsc) es una interfaz virtual que puede descartar silenciosamente los paquetes reenviados a medida que se reciben (no se envía ningún mensaje ICMP). Es útil en el caso de ataques de denegación de servicio (DoS). Una vez que sepa la dirección IP a la que se dirige, puede configurar una política para reenviar todos los paquetes recibidos en esa interfaz a la interfaz de descarte, donde se eliminarán. Del mismo modo, descartar silenciosamente paquetes que no tienen una ruta válida en la tabla de reenvío asociada puede evitar que el dispositivo se convierta en un reflector distribuido de denegación de servicio (DDoS), en el que se utiliza una dirección IP de origen falsificada para desencadenar una avalancha de mensajes de error ICMP desde el dispositivo.
La dsc interfaz solo se puede configurar en la unidad 0 de la interfaz física dada, y solo se admite una dsc instancia por dispositivo.
Configure un filtro de entrada si, por ejemplo, desea realizar una acción, como registrar el descarte para comprender mejor la naturaleza del ataque.
[edit interfaces interface-name]
dsc {
unit 0 {
family inet {
filter {
output filter-name;
}
}
}
}
Puede configurar una política de entrada para asociar una comunidad de BGP con la interfaz de descarte. Para configurar una política de entrada para asociar una comunidad a la interfaz de descarte:
[edit]
policy-options {
community community-name members [ community-id ];
policy-statement statement-name {
term term-name {
from community community-name;
then {
next-hop address; # Remote end of the point-to-point interface
accept;
}
}
}
}
Configure una política de salida para configurar la comunidad en las rutas inyectadas en la red:
[edit]
policy-options {
policy-statement statement-name {
term term-name {
from prefix-list name;
then community (set | add | delete) community-name;
}
}
}