Comment limiter le trafic sur les interfaces du routeur Junos

Afin de contrecarrer un type de déni de service (DoS) sur votre routeur Junos, vous pouvez utiliser policers Junos pour dire au routeur quoi faire pour limiter l'impact d'une telle attaque.

Certaines attaques DoS sur des routeurs fonctionnent en inondant le routeur avec le trafic, l'envoi de trafic tant au routeur interfaces si rapidement que les interfaces sont débordés et ne peuvent pas gérer le trafic régulier qui devrait être de passage à l'interface.

Une méthode pour lutter contre cette attaque est d'utiliser policers Junos, que vous pouvez spécifier lorsque vous définissez l'action d'un filtre de pare-feu devrait prendre. Policers vous permettent de placer des limites sur la quantité de trafic (ou même juste un type de trafic) qu'une interface peut recevoir, ce qui peut limiter l'impact des attaques DoS.

Policers contrôler la largeur de bande maximale autorisée (le nombre moyen de bits par seconde) et la taille maximale autorisée d'une seule salve de trafic lorsque la limite de la bande passante est dépassée. Tout trafic reçu au-delà des limites fixées est tombé.

Policers sont utilisés dans l'action (puis) D'un filtre de pare-feu. Pour les utiliser dans un filtre pare-feu, vous définissez d'abord le policer. L'exemple suivant crée un policer appelé la police-ssh-telnet qui fixe un taux maximum de trafic (bande passante) de 1 Mbps et la taille maximale d'un paquet de trafic dépassant cette limite (taille éclater) de 25K. Trafic dépassement de ces limites est jeté.

[modifier pare-feu] fred @ routeur # set policer la police-ssh-telnet si-dépassant la bande passante limite 1m [modifier pare-feu] fred @ routeur # set policer la police-ssh-telnet si-dépassant éclater taille limite 25k [modifier pare-feu] fred @ routeur # set policer la police-ssh-telnet puis défaussez

Puis inclure le policer dans une action de filtrage de pare-feu. Par exemple, vous pouvez l'ajouter à un filtre de pare-feu SSH Telnet qui est déjà en existence sur l'interface de bouclage du routeur:

[modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet accès terme alors policerpolice-ssh-telnet [modifier pare-feu] fred @ routeur # set filtre limite-ssh-telnet terme accès terme puis accepte

Le trafic qui est conforme aux limites de la policer prendra les mesures que vous spécifiez dans le terme pare-feu - dans ce cas, il est admis - alors que le trafic qui dépasse les limites de la policer prendra les mesures qui y sont prescrites - dans ce cas, il est jeté.

Limitation de vitesse flux du trafic vers le moteur de routage en définissant policers est une bonne pratique de sécurité pour empêcher le moteur de routage d'être submergé par le trafic indésirable ou par d'éventuelles attaques sur le routeur. Tous les processus de protocole de routage exécuter sur le moteur de routage, ce qui est critique pour le fonctionnement de base du routeur lui-même. Lorsque ces processus ne peuvent pas fonctionner normalement, le résultat peut être une déstabilisation du réseau.


» » » » Comment limiter le trafic sur les interfaces du routeur Junos