Video: Humans Need Not Apply 2024
For å motvirke en type avslag på tjenesten (DoS) på Junos-ruteren, kan bruke Junos politimenn til å fortelle ruteren hva de skal gjøre for å begrense virkningen av et slikt angrep.
Noen DoS-angrep på rutere jobber ved å oversvømme ruteren med trafikk, sende så mye trafikk til rutefrensesnitt så raskt at grensesnittene blir overveldet og ikke kan håndtere den vanlige trafikken som skal passere gjennom grensesnittet.
En metode for å bekjempe dette angrepet er å bruke Junos-policere, som du kan spesifisere når du definerer handlingen som et brannmurfilter skal ta. Policers lar deg legge inn begrensninger på trafikkmengden (eller til og med bare en type trafikk) som et grensesnitt kan motta, noe som kan begrense virkningen av DoS-angrep.
Policere styrer maksimalt tillatt båndbredde (gjennomsnittlig antall biter per sekund) og maksimal tillatt størrelse på en enkelt bølge av trafikk når båndbreddegrensen overskrides. Eventuell trafikk mottatt utover de fastsatte grensene, blir tapt.
Policere brukes i handlingen (så) delen av et brannmurfilter. For å bruke dem i et brannmurfilter, definerer du først politikken. I det følgende eksemplet opprettes en politiker som heter politis-ssh-telnet som setter maksimal trafikkhastighet (båndbredde) på 1 Mbps og den maksimale størrelsen på en trafikkskur overskrider denne grensen (burststørrelse) på 25K. Trafikk over disse grensene blir kassert.
[rediger brannmur] fred @ router # sett politistyr politis-ssh-telnet hvis overstigende båndbreddegrense 1m [rediger brannmur] fred @ router # rediger brannmur] fred @ router # sett politi politiet ssh-telnet og kast bort
Ta deretter politikken i en brannmurfilterhandling. For eksempel kan du legge til det i et SSH-Telnet-brannmurfilter som allerede finnes på ruterenes loopback-grensesnitt:
[rediger brannmur] fred @ router # sett filter grense-ssh-telnet termen tilgangsperiode deretter politiker politiet ssh-telnet [rediger brannmur] fred @ router # sett filter grense-ssh-telnet tidsbegrenset tilgangstid og godta deretter
Trafikk som overholder grensene i politikken, vil utføre handlingen du angir i brannmurperioden - i dette tilfellet er det akseptert - mens trafikk som overskrider grensene i politikken vil ta handlingen spesifisert der - i dette tilfellet blir det kassert.
Begrensning av trafikkstrøm til rutemotoren ved å definere policere er en god sikkerhetspraksis for å hindre at rutemotoren blir overveldet av uønsket trafikk eller ved mulige angrep på ruteren.Alle ruteprotokollprosessene kjører på rutemotoren, noe som er kritisk for kjernevirksomheten til ruteren selv. Når disse prosessene ikke kan kjøre normalt, kan resultatet bli en destabilisering av nettverket.
