パケット/秒(pps)ベースのポリサーの概要
最新のネットワーク環境では、サービス拒否(DoS)攻撃と分散型サービス拒否(DDoS)攻撃の両方が非常に一般的です。時間が経つにつれて、これらの攻撃は、攻撃者が接続の利用可能な帯域幅を膨大な量の誘導トラフィックでオーバーランしようとするブルートフォースタイプの攻撃から、サービスを拒否するために特定のリソースをターゲットにするためにより遅い速度で送信される、より小さなパケットを使用するより低速および低速の攻撃に進化しました。
Junos OSリリース9.6以降、インターフェイスベースとフィルターベースの両方のトラフィックポリサーを使用して、ブルートフォースタイプのDDoS攻撃を緩和できるようになりました。これらのポリサーは、論理インターフェイスを介してトラフィックレートを制限するか、ファイアウォールフィルター内の 非終了アクション としてトラフィックレートを制限することによって動作します。
Junos OS リリース 15.1 以前のリリースでは、ポリサーで使用可能なパラメーターが 2 つありました。帯域幅とバーストサイズ帯域幅パラメーターの測定単位はビット/秒(bps)で、バーストサイズパラメーターの測定単位はバイト(B)です。詳細については 、「ポリサー帯域幅とバースト サイズの制限 」を参照してください。これらのパラメーター内で定義されたポリサーは、低速および低速タイプの DDoS 攻撃を阻止するのに効果的ではありません。
Junos OS リリース 16.1 以降では、 pps-limit
および packet-burst
ステートメントでパケット/秒(pps)を使用してトラフィック ポリサーを定義できます。pps-limit
の測定単位はパケット/秒(pps)で、packet-burst
の測定単位はパケットです。これらの pps ベースのポリサーは、低速および低速タイプの DDoS 攻撃をより効果的に緩和できます。
if-exceeding-pps
ステートメントで設定されたポリサーは、帯域幅ベースのポリサーと同じ方法で、同じ場所で適用されます。PPS ベースのポリサーは、帯域幅ベースのポリサーと同時に適用することはできません。トラフィック分類に基づいて 2 つのポリシング アクションを設定できる階層型ポリサーを除き、一度に適用できるポリサーは 1 つだけです。