Βίντεο: ほうれい線消す方法でも消えないシワを薄くしたい 2024
Για να αποτρέψουμε ένα είδος επίθεσης άρνησης εξυπηρέτησης (DoS) στον δρομολογητή Junos, μπορούν να χρησιμοποιήσουν τους πολιτικούς της Junos για να ενημερώσουν τον δρομολογητή τι πρέπει να κάνουν για να περιορίσουν τον αντίκτυπο μιας τέτοιας επίθεσης.
Ορισμένες επιθέσεις DoS στους δρομολογητές λειτουργούν με την κατακλυσμό του δρομολογητή με κυκλοφορία, στέλνοντας τόσο μεγάλη κίνηση στις διεπαφές του δρομολογητή τόσο γρήγορα ώστε οι διασυνδέσεις να είναι συγκλονισμένες και δεν μπορούν να χειριστούν την κανονική κίνηση που πρέπει να διέρχεται από τη διεπαφή.
Μια μέθοδος για την καταπολέμηση αυτής της επίθεσης είναι η χρήση των Junos policers, τις οποίες μπορείτε να καθορίσετε όταν καθορίζετε τη δράση που πρέπει να λάβει ένα φίλτρο τείχους προστασίας. Οι Policers σας επιτρέπουν να θέσετε όρια στο μέγεθος της κυκλοφορίας (ή ακόμα και μόνο σε έναν τύπο κίνησης) που μπορεί να λάβει μια διεπαφή, η οποία μπορεί να περιορίσει την επίδραση των επιθέσεων DoS.
Οι αστυνομικοί ελέγχουν το μέγιστο επιτρεπόμενο εύρος ζώνης (ο μέσος αριθμός bits ανά δευτερόλεπτο) και το μέγιστο επιτρεπόμενο μέγεθος μιας ενιαίας έκρηξης κυκλοφορίας όταν υπερβαίνει το όριο εύρους ζώνης. Οποιαδήποτε κυκλοφορία λαμβάνεται πέραν των καθορισμένων ορίων έχει πέσει.
Οι αστυνομικοί χρησιμοποιούνται στο τμήμα δράσης (τότε) ενός φίλτρου τείχους προστασίας. Για να τα χρησιμοποιήσετε σε ένα φίλτρο τείχους προστασίας, ορίστε πρώτα τον αστυνομικό. Το ακόλουθο παράδειγμα δημιουργεί έναν αστυνομικό που ονομάζεται αστυνομικός-ssh-telnet ο οποίος καθορίζει ένα μέγιστο ρυθμό επισκεψιμότητας (εύρος ζώνης) 1 Mbps και το μέγιστο μέγεθος μιας κυκλοφοριακής έκρηξης που υπερβαίνει αυτό το όριο (μέγεθος έκρηξης) 25K. Η κυκλοφορία που υπερβαίνει αυτά τα όρια απορρίπτεται.
[επεξεργασία τείχους προστασίας] fred @ router # set αστυνομική αστυνομία-ssh-telnet εάν υπερβεί το όριο εύρους ζώνης-1m [επεξεργασία τείχους προστασίας] επεξεργαστείτε το τείχος προστασίας] fred @ router # set αστυνομική αστυνομία-ssh-telnet και στη συνέχεια να απορρίψετε
Στη συνέχεια, συμπεριλάβετε τον αστυνομικό σε μια ενέργεια φίλτρου τείχους προστασίας. Για παράδειγμα, μπορείτε να την προσθέσετε σε ένα φίλτρο τείχους προστασίας SSH-Telnet που υπάρχει ήδη στη διασύνδεση loopback του δρομολογητή:
[επεξεργαστείτε το τείχος προστασίας] fred @ router # set φίλτρο όριο-ssh-telnet όρος πρόσβασης-term τότε αστυνομία αστυνομίας-ssh-telnet τότε δέχεστε
Η κυκλοφορία που συμμορφώνεται με τα όρια στον αστυνομικό θα λάβει την ενέργεια που καθορίζετε στον όρο του τείχους προστασίας - στην περίπτωση αυτή, γίνεται δεκτή - ενώ η κίνηση που υπερβαίνει τα όρια στον αστυνομικό θα λάβει τη δράση καθορίζεται εκεί - στην περίπτωση αυτή, απορρίπτεται.
Ο περιορισμός της ροής κίνησης στη μηχανή δρομολόγησης καθορίζοντας τους αστυνομικούς είναι μια καλή πρακτική ασφάλειας που εμποδίζει τη μηχανή δρομολόγησης να κατακλύζεται από ανεπιθύμητη κίνηση ή πιθανές επιθέσεις στο δρομολογητή.Όλες οι διαδικασίες πρωτοκόλλου δρομολόγησης εκτελούνται με τη μηχανή δρομολόγησης, η οποία είναι κρίσιμη για την λειτουργία του πυρήνα του ίδιου του δρομολογητή. Όταν αυτές οι διαδικασίες δεν μπορούν να λειτουργούν κανονικά, το αποτέλεσμα μπορεί να είναι μια αποσταθεροποίηση του δικτύου.