Video: How To Bypass A Router (Port Forwarding) 2024
Um einen Denial-of-Service-Angriff (DoS) auf Ihrem Junos-Router zu verhindern, müssen Sie kann Junos-Policer verwenden, um dem Router mitzuteilen, was er tun soll, um die Auswirkungen eines solchen Angriffs zu begrenzen.
Bei einigen DoS-Angriffen auf Router wird der Router mit Datenverkehr überflutet. Dadurch wird so viel Datenverkehr an Router-Schnittstellen gesendet, dass die Schnittstellen überlastet sind und den regulären Datenverkehr nicht bewältigen können, der über die Schnittstelle übertragen werden sollte.
Eine Methode zur Bekämpfung dieses Angriffs ist die Verwendung von Junos-Policern, die Sie angeben können, wenn Sie die Aktion definieren, die ein Firewall-Filter ausführen soll. Policer ermöglichen es Ihnen, die Menge an Datenverkehr (oder sogar nur eine Art von Datenverkehr), die eine Schnittstelle empfangen kann, zu begrenzen, was die Auswirkungen von DoS-Angriffen begrenzen kann.
Die Policer steuern die maximal zulässige Bandbreite (die durchschnittliche Anzahl der Bits pro Sekunde) und die maximal zulässige Größe eines einzelnen Datenverkehrs, wenn die Bandbreitengrenze überschritten wird. Jeglicher über die festgelegten Grenzen hinaus empfangener Verkehr wird gelöscht.
Policer werden im Aktionsteil eines Firewallfilters verwendet. Um sie in einem Firewall-Filter zu verwenden, definieren Sie zuerst den Policer. Im folgenden Beispiel wird ein Policer namens police-ssh-telnet erstellt, der eine maximale Datenverkehrsrate (Bandbreite) von 1 MBit / s und die maximale Größe eines Datenverkehrs-Bursts, der diese Grenze (Burst-Größe) überschreitet, auf 25 KB festlegt. Verkehr, der diese Grenzen überschreitet, wird verworfen.
[edit firewall] fred @ router # set polizei polizei-ssh-telnet wenn-überschreitende bandbreite-limit 1m [edit firewall] fred @ router # set polizei polizei-ssh-telnet if-überschreitende burst-grenze-limit 25k [Bearbeiten Sie die Firewall] fred @ router # Setzen Sie den Polizisten police-ssh-telnet und verwerfen Sie dann
Fügen Sie dann den Policer in eine Firewall-Filteraktion ein. Sie können sie beispielsweise einem SSH-Telnet-Firewallfilter hinzufügen, der bereits auf der Loopback-Schnittstelle des Routers vorhanden ist:
[edit firewall] fred @ router # set filter limit-ssh-telnet term access-term dann polizei polizei-ssh-telnet [bearbeiten firewall] fred @ router # set filter limit-ssh-telnet term access-term then accept
Datenverkehr, der den Limits im Policer entspricht, führt die Aktion aus, die Sie im Firewallbegriff angegeben haben - in diesem Fall wird er akzeptiert -, während Verkehr, der die Limits im Policer überschreitet, die Aktion ausführt. dort angegeben - in diesem Fall wird es verworfen.
Der geschwindigkeitsbestimmende Datenfluss zur Routing-Engine durch Definition von Policern ist eine gute Sicherheitsmaßnahme, um zu verhindern, dass die Routing Engine durch unerwünschten Datenverkehr oder mögliche Angriffe auf den Router überlastet wird.Alle Routingprotokollprozesse werden auf der Routing Engine ausgeführt, was für den Kernbetrieb des Routers selbst von entscheidender Bedeutung ist. Wenn diese Prozesse nicht normal ausgeführt werden können, kann das Ergebnis eine Destabilisierung des Netzwerks sein.
