Junosルーターで一種のサービス拒否(DoS)攻撃を阻止するには、 Junosポリサーを使用して、そのような攻撃の影響を制限するために何をすべきかをルータに伝えることができます。
ルーターに対するDoS攻撃の一部は、ルーターにトラフィックを氾濫させることによって機能し、ルーターインターフェイスに非常に多くのトラフィックをすばやく送信し、インターフェイスが圧倒され、インターフェイスを通過する通常のトラフィックを処理できなくなります。
<! - 1 - >この攻撃に対抗する1つの方法は、Junosポリサーを使用することです。これは、ファイアウォールフィルターが実行するアクションを定義するときに指定できます。 Policers では、インターフェイスが受信できるトラフィック量(またはトラフィックの種類のみ)に制限を設け、DoS攻撃の影響を制限することができます。
ポリサーは、帯域幅の制限を超えた場合に、許容される最大帯域幅(1秒あたりの平均ビット数)とトラフィックの単一バーストの最大許容サイズを制御します。設定された制限を超えて受信されたトラフィックはすべて廃棄されます。
<! - 2 - >ポリサーは、ファイアウォールフィルターのアクション(当時)部分で使用されます。ファイアウォールフィルタでそれらを使用するには、最初にポリサーを定義します。次の例では、police-ssh-telnetというポリサーを作成し、最大トラフィックレート(帯域幅)を1 Mbpsに設定し、このバーストサイズを超えるトラフィックバーストの最大サイズを25 Kに設定します。これらの制限を超えるトラフィックは破棄されます。
fred @ router#set policer police-ssh-telnet(帯域幅制限を超えている場合)1m [ファイアウォールの編集] fred @ router#set policer police-ssh-telnet if exceeding burst-size-limit 25k [ファイアウォールの編集] fred @ router#policer police-ssh-telnetを設定してから廃棄します。
次に、ファイアウォールフィルタアクションにポリサーを含めます。たとえば、ルータのループバックインターフェイスにすでに存在しているSSH-Telnetファイアウォールフィルタに追加することができます。
<!ファイアウォールを編集するfred @ router#set filter limit-ssh-telnet term access-term次にポリサーpolice-ssh-telnet [ファイアウォールの編集] fred @ router#set filter-ssh-telnet短期のアクセス期間を指定してから受け入れます。ポリサーの制限に適合するトラフィックは、ファイアウォール期間で指定したアクションを実行します。この場合は受け入れられますが、ポリサーの制限を超えるトラフィックは、そこに指定されている - この場合、それは破棄されます。
ポリシングエンジンを定義することにより、ルーティングエンジンへのレート制限トラフィックフローは、ルーティングエンジンが不要なトラフィックやルータへの攻撃によって圧倒されないようにするための良いセキュリティプラクティスです。すべてのルーティングプロトコルプロセスは、ルーティングエンジン上で実行されます。これは、ルーター自体のコア動作にとって重要です。これらのプロセスが正常に実行できない場合、結果としてネットワークが不安定になる可能性があります。
