DDOS網(wǎng)絡(luò)恢復(fù)技術(shù)手冊

1、 DDOS 網(wǎng)絡(luò)恢復(fù)技術(shù)手冊 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc40516998 一、采集故障數(shù)據(jù) PAGEREF _Toc40516998 h 4 HYPERLINK l _Toc40516999 二、修復(fù)MySQL數(shù)據(jù)庫 PAGEREF _Toc40516999 h 7 HYPERLINK l _Toc40517000 現(xiàn)象描述 PAGEREF _Toc40517000 h 7 HYPERLINK l _Toc40517001 可能原因 PAGEREF _Toc40517001 h 7 HYPERLINK l _Toc40517002 處理步驟 PAG

2、EREF _Toc40517002 h 7 HYPERLINK l _Toc40517003 建議與總結(jié) PAGEREF _Toc40517003 h 9 HYPERLINK l _Toc40517004 三、管理中心服務(wù)啟動失敗 PAGEREF _Toc40517004 h 9 HYPERLINK l _Toc40517005 現(xiàn)象描述 PAGEREF _Toc40517005 h 9 HYPERLINK l _Toc40517006 可能原因 PAGEREF _Toc40517006 h 9 HYPERLINK l _Toc40517007 處理步驟 PAGEREF _Toc4051700

3、7 h 9 HYPERLINK l _Toc40517008 四、網(wǎng)元呈離線狀態(tài) PAGEREF _Toc40517008 h 10 HYPERLINK l _Toc40517009 現(xiàn)象描述 PAGEREF _Toc40517009 h 10 HYPERLINK l _Toc40517010 可能原因 PAGEREF _Toc40517010 h 10 HYPERLINK l _Toc40517011 處理步驟 PAGEREF _Toc40517011 h 10 HYPERLINK l _Toc40517012 五、查詢告警、手動確認(rèn)告警或清除告警時響應(yīng)慢 PAGEREF _Toc40517

4、012 h 11 HYPERLINK l _Toc40517013 現(xiàn)象描述 PAGEREF _Toc40517013 h 11 HYPERLINK l _Toc40517014 可能原因 PAGEREF _Toc40517014 h 11 HYPERLINK l _Toc40517015 處理步驟 PAGEREF _Toc40517015 h 11 HYPERLINK l _Toc40517016 六、管理中心上Anti-DDoS采集器連接狀態(tài)異常 PAGEREF _Toc40517016 h 11 HYPERLINK l _Toc40517017 現(xiàn)象描述 PAGEREF _Toc4051

5、7017 h 11 HYPERLINK l _Toc40517018 可能原因 PAGEREF _Toc40517018 h 11 HYPERLINK l _Toc40517019 處理步驟 PAGEREF _Toc40517019 h 12 HYPERLINK l _Toc40517020 七、管理中心上無法查看到防護(hù)對象的流量 PAGEREF _Toc40517020 h 12 HYPERLINK l _Toc40517021 現(xiàn)象描述 PAGEREF _Toc40517021 h 12 HYPERLINK l _Toc40517022 可能原因 PAGEREF _Toc40517022

6、h 13 HYPERLINK l _Toc40517023 處理步驟 PAGEREF _Toc40517023 h 13 HYPERLINK l _Toc40517024 八、處理流程 PAGEREF _Toc40517024 h 14 HYPERLINK l _Toc40517025 九、確認(rèn)攻擊發(fā)生 PAGEREF _Toc40517025 h 14 HYPERLINK l _Toc40517026 十、確認(rèn)清洗情況 PAGEREF _Toc40517026 h 15 HYPERLINK l _Toc40517027 十一、檢查白名單 PAGEREF _Toc40517027 h 16 H

7、YPERLINK l _Toc40517028 十二、專用應(yīng)急方法 PAGEREF _Toc40517028 h 17 HYPERLINK l _Toc40517029 十三、TCP防御 PAGEREF _Toc40517029 h 18 HYPERLINK l _Toc40517030 十四、UDP防御 PAGEREF _Toc40517030 h 19 HYPERLINK l _Toc40517031 DNS防御 PAGEREF _Toc40517031 h 22采集故障數(shù)據(jù)遇到系統(tǒng)故障時，需要及時記錄及收集相關(guān)數(shù)據(jù)信息，以便定位問題及處理。記錄故障信息表1 故障信息記錄項采集項說明時間和

8、地點故障發(fā)生的時間和地點。時間需要精確到分鐘。現(xiàn)象描述描述故障發(fā)生時的現(xiàn)象，越具體越有助于故障的定位。已采取的措施和結(jié)果在現(xiàn)場采取初步的故障處理措施之后，有可能會出現(xiàn)新的問題，需要將已采取措施的操作步驟和出現(xiàn)的結(jié)果進(jìn)行詳細(xì)記錄。查看管理中心版本信息如果能夠登錄管理中心界面，單擊界面右上角的，查看管理中心版本信息。 如果不能登錄管理中心界面，則在“安裝目錄Runtimebin”目錄下，雙擊“showVersion.bat”來查看版本信息。 在實際操作時安裝目錄需要替換為管理中心服務(wù)器安裝完成后的目錄。默認(rèn)路徑為“D:VSMRuntimebinshowVersion.bat”。告警信息收集告警信息

9、，尤其注意管理中心告警或異常事件。登錄管理中心界面。 選擇“告警 告警管理 當(dāng)前告警”。 選中告警前的復(fù)選框，或單擊標(biāo)題欄復(fù)選框選中所有告警，單擊。將所選告警導(dǎo)出至本地機器的指定路徑保存。組網(wǎng)結(jié)構(gòu)了解組網(wǎng)結(jié)構(gòu)，有助于定位因組網(wǎng)問題造成的故障。采集故障信息選擇“開始 所有程序 ATIC Debugging Information Collect Tools”。單擊“開始”。 選擇采集結(jié)果的存放路徑。 選擇采集結(jié)果的存放位置后，開始采集故障信息。故障采集完成后，界面如HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20S

10、ecospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0001.html l vsm_tro_0001_fig03圖1所示。圖1 故障單擊“查看詳情”，查看詳細(xì)的信息采集結(jié)果。返回“信息采集”界面，單擊“打開保存目錄”。 將目錄中的“l(fā)og.zip”提交給管理員或技術(shù)工程師幫助定位故障。父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&800

11、0%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/8000/cfg_ddos/topics/cn_hlr_concept_00165.html ATIC管理中心 故障處理修復(fù)MySQL數(shù)據(jù)庫現(xiàn)象描述異常斷電后，MySQL數(shù)據(jù)庫異常。以MySQL數(shù)據(jù)庫的安裝路徑是“D:VSMMySQLbin”為例進(jìn)行介紹?？赡茉虍惓嚯姇?dǎo)致Anti-DDoS采集器或管理中心服務(wù)器上的MySQL數(shù)據(jù)庫文件損壞。處理步驟以安裝MySQL數(shù)據(jù)庫時的操作系統(tǒng)用戶登錄操作系統(tǒng)。 如果已登錄，請?zhí)^此步。停止管理中心服務(wù)器或采集器服務(wù)。 若異常斷電的為服務(wù)器，請在管理服務(wù)器上選擇“開始

12、 所有程序 ATIC Stop ATIC”。 若異常斷電的為采集器，請在采集器所在服務(wù)器上選擇“開始 所有程序 Anti-DDoS Collector Stop Collector”。單擊“開始 運行”。 如HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0007.html l vsm_tro_0007_fig1圖1所示，輸入cmd，單擊“確定

13、”。 圖1 “運行”對話框 執(zhí)行cd /d D:VSMMySQLbin命令，進(jìn)入“D:VSMMySQL”路徑下的“bin”文件夾。如 HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0007.html l vsm_tro_0007_fig2 圖2所示。 圖2 進(jìn)入MySQL的bin文件夾 執(zhí)行mysqlcheck -all-databases

14、-auto-repair -uroot -p1234命令，檢查并自動修復(fù)數(shù)據(jù)庫文件。其中root為數(shù)據(jù)庫用戶名，1234為數(shù)據(jù)庫密碼。如HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0007.html l vsm_tro_0007_fig3圖3所示。 圖3 運行mysqlcheck命令 所有項均為OK，表示修復(fù)成功。建議與總結(jié)MySQL數(shù)據(jù)庫

15、修復(fù)完成后，重新開啟管理中心服務(wù)或采集器服務(wù)。父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0003.html o 在安裝或使用管理中心的過程中，數(shù)據(jù)庫故障會導(dǎo)致管理中心不可用，請根據(jù)本章定位并排除數(shù)據(jù)庫故障。 數(shù)據(jù)庫故障管理中心服務(wù)啟動失敗現(xiàn)象描述在管理中心服務(wù)器上，選擇“開始 運行”，輸入“services.msc”，單擊“確定

16、”。在“服務(wù)”中的LEGOService、LEGOMonitor、LEGOWebSrv服務(wù)啟動失敗。在管理中心采集器上，選擇“開始 運行”，輸入“services.msc”，單擊“確定”。在“服務(wù)”中的Anti-DDoS Collector ServiceAnti-DDoS Collector Monitor Service服務(wù)啟動失敗。可能原因第三方軟件占用相關(guān)端口。內(nèi)存不足。處理步驟請確認(rèn)是否有其他第三方軟件占用了相關(guān)端口，具體方法請參見 HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%2

17、0AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0043.html 如何處理端口被占用問題。 管理中心各服務(wù)使用到的端口號，具體請參見 安裝指南中的 HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/plan/plan_0041.html 端口列表。如果有，關(guān)閉第三方軟件。 如

18、果沒有第三方軟件占用端口，則執(zhí)行步驟 HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0051.html l vsm_tro_0051_step01 2。在任務(wù)欄空白處單擊右鍵，選擇“任務(wù)管理器”，在“性能”頁簽中查看“物理內(nèi)存”的“可用數(shù)”是否小于最低要求。 集中式部署時內(nèi)存最低要求為2.5G，分布式部署時內(nèi)存最低要求為1.5G。如果小于最低

19、要求，請關(guān)閉其他占用內(nèi)存的軟件。 如果大于最低要求，則執(zhí)行步驟HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0051.html l vsm_tro_0051_step023。如果通過以上步驟，問題仍無法解決，請聯(lián)系技術(shù)支持工程師。父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備

20、恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0008.html o 管理中心基礎(chǔ)功能故障包括系統(tǒng)、資源、告警等基礎(chǔ)功能產(chǎn)生的故障。 基礎(chǔ)功能故障網(wǎng)元呈離線狀態(tài)現(xiàn)象描述在管理中心的“資源 資源管理 網(wǎng)元列表”中，網(wǎng)元的“狀態(tài)”為。此處網(wǎng)元指自動發(fā)現(xiàn)上來的網(wǎng)元?？赡茉虮还芫W(wǎng)元的IP地址發(fā)生變更。管理中心服務(wù)器與被管網(wǎng)元沒有連通。處理步驟確保在管理中心上的被管網(wǎng)元的IP地址與其實際IP地址一致。 在“資源 資源管理 網(wǎng)元列表”中，查看管理中心上的

21、“IP地址”與網(wǎng)元的實際IP地址是否一致。 如果不一致，請重新發(fā)現(xiàn)修改IP地址后的網(wǎng)元；如果一致，請?zhí)^此步。說明： 查看被管網(wǎng)元本端IP地址的方法是：以Anti-DDoS設(shè)備為例說明，通過命令行方式登錄到Anti-DDoS設(shè)備，執(zhí)行命令display current-configuration | include firewall ddos log-local-ip，回顯信息中的IP地址就是配置的本端IP地址。檢查被管網(wǎng)元和管理中心服務(wù)器能否連通。 在管理中心服務(wù)器上，對被管網(wǎng)元IP地址執(zhí)行ping命令。如果不能ping通，請檢查管理中心服務(wù)器與被管網(wǎng)元之間的物理連接是否正常等；如果能夠pi

22、ng通，請?zhí)^此步。如果通過以上步驟，問題仍無法解決，請聯(lián)系技術(shù)支持工程師。父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0008.html o 管理中心基礎(chǔ)功能故障包括系統(tǒng)、資源、告警等基礎(chǔ)功能產(chǎn)生的故障。 基礎(chǔ)功能故障查詢告警、手動確認(rèn)告警或清除告警時響應(yīng)慢現(xiàn)象描述查詢告警、手動確認(rèn)告警或清除告警時管理中心響應(yīng)慢?？赡茉虍?dāng)前數(shù)

23、據(jù)庫中存儲的告警條目太多。處理步驟縮短轉(zhuǎn)儲周期。 選擇“系統(tǒng) 數(shù)據(jù)維護(hù) 告警轉(zhuǎn)儲” 在“轉(zhuǎn)儲參數(shù)”區(qū)域，單擊，將“轉(zhuǎn)儲周期”和“保留最近的數(shù)據(jù)庫記錄”的天數(shù)修改為一個較小的值。 默認(rèn)的轉(zhuǎn)儲周期是30天，保留數(shù)據(jù)記錄是90天。單擊“確定”。 轉(zhuǎn)儲后數(shù)據(jù)庫中的告警條目減少，響應(yīng)速度加快。如果通過以上步驟，問題仍無法解決，請聯(lián)系技術(shù)支持工程師。父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(

24、chm).chm:/vsm_tro/vsm_tro_0008.html o 管理中心基礎(chǔ)功能故障包括系統(tǒng)、資源、告警等基礎(chǔ)功能產(chǎn)生的故障。 基礎(chǔ)功能故障管理中心上Anti-DDoS采集器連接狀態(tài)異常現(xiàn)象描述在“資源 資源管理 采集器管理”中，查看到Anti-DDoS采集器的“連接狀態(tài)”為。若“連接狀態(tài)”由變?yōu)?，系統(tǒng)會產(chǎn)生“Anti-DDoS采集器離線”的告警?？赡茉駻nti-DDoS采集器的IP地址配置不正確。未啟動Anti-DDoS采集器的Anti-DDoS Collector Service和Anti-DDoS Collector Monitor Service服務(wù)。Anti-DDoS采

25、集器的硬盤空間不足。Anti-DDoS采集器上9110、11099或8213的端口被其他程序占用。Anti-DDoS采集器和管理服務(wù)器沒有連通。處理步驟確保Anti-DDoS采集器的IP地址配置正確。 在“資源 資源管理 采集器管理”中，查看配置的“IP地址”與采集器所在服務(wù)器的實際IP地址是否一致。如果不一致，請重新配置使二者保持一致；如果一致，請?zhí)^此步。確保已啟動Anti-DDoS采集器的Anti-DDoS Collector Service和Anti-DDoS Collector Monitor Service服務(wù)。 登錄Anti-DDoS采集器所在的服務(wù)器桌面。 選擇“開始 運行”，

26、輸入“services.msc”，單擊“確定”。 在“服務(wù)”界面，查看Anti-DDoS Collector Service和Anti-DDoS Collector Monitor Service服務(wù)的狀態(tài)是否為“已啟動”。如果狀態(tài)為“已啟動”，請?zhí)^此步；否則，請單擊右鍵選擇“啟動”。在采集器上，檢查Anti-DDoS采集器的硬盤空間是否不足。 如果空間不足，請進(jìn)行硬盤清理，刪除無用的文件，并重新啟動系統(tǒng)；否則，請?zhí)^此步。在采集器上，檢查占用9110、11099或8213端口的進(jìn)程是否為“DDoSCollector.exe”，具體請參見 HYPERLINK mk:MSITStore:C:U

27、sers何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0043.html 如何處理端口被占用問題。 如果是，請?zhí)^此步；否則，關(guān)閉占用端口的其他程序。檢查Anti-DDoS采集器和管理服務(wù)器能否連通。 在管理服務(wù)器上，對Anti-DDoS采集器IP地址執(zhí)行ping命令。如果不能ping通，請檢查Anti-DDoS采集器和管理服務(wù)器之間路由是否可達(dá)、物理連接是否正常等；如果能夠ping通，請?zhí)^此步。如

28、果通過以上步驟，問題仍無法解決，請聯(lián)系技術(shù)支持工程師。父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0015.html o 請根據(jù)本章定位并解決Anti-DDoS業(yè)務(wù)相關(guān)的各種故障。 Anti-DDoS業(yè)務(wù)故障管理中心上無法查看到防護(hù)對象的流量現(xiàn)象描述實際網(wǎng)絡(luò)中有流量，但登錄管理中心后，在“報表 Anti-DDoS”中無法查看到防護(hù)

29、對象的流量信息?？赡茉蚬芾碇行暮头雷o(hù)對象關(guān)聯(lián)的Anti-DDoS設(shè)備之間通信異常。管理中心和Anti-DDoS采集器之間通信異常。流量未到達(dá)Anti-DDoS設(shè)備。Anti-DDoS設(shè)備的流量入接口未開啟流量統(tǒng)計功能。處理步驟查看管理中心和防護(hù)對象關(guān)聯(lián)的Anti-DDoS設(shè)備之間通信是否正常。 操作方法： 選擇“配置 Anti-DDoS 防護(hù)對象管理”。 在“防護(hù)對象列表”中，單擊防護(hù)對象對應(yīng)的。 在“修改防護(hù)對象”界面中，單擊“網(wǎng)元”頁簽，查看此防護(hù)對象關(guān)聯(lián)的Anti-DDoS設(shè)備的“狀態(tài)”是否為。如果是，請?zhí)^此步；如果不是，請參考 HYPERLINK mk:MSITStore:C:Us

30、ers何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0038.html 網(wǎng)元呈離線狀態(tài)。查看管理中心和Anti-DDoS采集器之間通信是否正常。 操作方法： 選擇“資源 資源管理 采集器管理”，在“采集器管理”查找Anti-DDoS設(shè)備關(guān)聯(lián)的采集器，并查看此采集器連接狀態(tài)是否為。如果是，請?zhí)^此步；如果不是，請參考HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)

31、提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0048.html管理中心上Anti-DDoS采集器連接狀態(tài)異常。檢查流量是否沒有到達(dá)Anti-DDoS設(shè)備。 操作方法： 在Anti-DDoS設(shè)備上執(zhí)行命令display interface，檢查是否有流量到達(dá)入接口。如果入接口上有流量，請?zhí)^此步；如果入接口沒有流量，請排查引流方面的故障。確保Anti-DDoS設(shè)備的流量入接口已開啟流量統(tǒng)計功能。 操作方法： 進(jìn)入Anti-DDo

32、S設(shè)備的流量入接口視圖，執(zhí)行命令display this，檢查入接口下是否配置了anti-ddos flow-statistic enable來開啟流量統(tǒng)計功能。如果有，請?zhí)^此步；如果沒有，請開啟流量統(tǒng)計功能。如果通過以上步驟，問題仍無法解決，請聯(lián)系技術(shù)支持工程師。父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_tro/vsm_tro_0015.html

33、o 請根據(jù)本章定位并解決Anti-DDoS業(yè)務(wù)相關(guān)的各種故障。 Anti-DDoS業(yè)務(wù)故障處理流程當(dāng)網(wǎng)絡(luò)遭到攻擊，現(xiàn)網(wǎng)中已配置的防御手段失效或效果不佳時，請參照以下流程做應(yīng)急處理。應(yīng)急處理流程如HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0001.html l vsm_emerg_maint_0001_fig

34、01圖1所示。圖1 應(yīng)急處理流程 父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/cd/cd_0024.html ATIC管理中心 應(yīng)急維護(hù)確認(rèn)攻擊發(fā)生系統(tǒng)維護(hù)過程中應(yīng)關(guān)注防護(hù)對象狀態(tài)，及時發(fā)現(xiàn)攻擊。操作步驟登錄管理中心。 選擇“配置 Anti-DDoS 防護(hù)對象管理”。 在“防護(hù)對象列表”界面，查看防護(hù)對象是否受到攻擊。 圖1 確認(rèn)攻擊 父主題： HYPERLIN

35、K mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/cd/cd_0024.html ATIC管理中心 應(yīng)急維護(hù)確認(rèn)清洗情況當(dāng)確認(rèn)已經(jīng)發(fā)生攻擊后，應(yīng)查看攻擊類型和當(dāng)前流量清洗情況，以便做出有針對性的應(yīng)急處理。前提條件如果受攻擊的防護(hù)對象的“防御狀態(tài)”顯示為“未防御”或“部分防御”時，請先手動開啟防御，確保已配置的防御手段是生效的。操作步驟登錄管理中心。 選擇“報表 Anti-DDoS 異常/攻擊分

36、析”。 單擊“異常/攻擊詳情”頁簽。 選擇相應(yīng)的網(wǎng)元、防護(hù)對象等查詢條件，查看具體的攻擊類型和當(dāng)前流量清洗情況。 異常攻擊日志中的攻擊報文數(shù)即是已經(jīng)清洗掉的報文數(shù)。說明： 如果流量對比圖中的出流量與平時正常業(yè)務(wù)中觀察到的出流量相差不大時，說明清洗效果較好。否則，清洗效果不佳。父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/cd/cd_0024.html ATIC管理

37、中心 應(yīng)急維護(hù)檢查白名單當(dāng)防御失效時請先檢查靜態(tài)白名單，確保攻擊源IP地址未被加入靜態(tài)白名單中。操作步驟登錄管理中心。 選擇“配置 Anti-DDoS 防護(hù)對象管理”。 單擊防護(hù)對象對應(yīng)的。 在“白名單列表”區(qū)域框中查看是否包含攻擊源IP地址。 如果包含攻擊源IP地址，則將其刪除。如果不包含則結(jié)合后面的專用應(yīng)急方法和通用應(yīng)急方法進(jìn)行處理。圖1 檢查白名父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文

38、檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0004.html o 當(dāng)防御失效時，先檢查白名單，再結(jié)合專用應(yīng)急方法和通用應(yīng)急方法進(jìn)行處理。 防御失效時的應(yīng)急方法專用應(yīng)急方法專用應(yīng)急方法適用于針對不同協(xié)議類型的攻擊。 HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_main

39、t_0006.html TCP防御針對協(xié)議類型為TCP的攻擊，應(yīng)急處理手段主要包括配置SYN Flood防御、SYN-ACK Flood防御、FIN/RST Flood防御，開啟首包檢查及配置真實源IP限速。 HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0007.html UDP防御針對協(xié)議類型為UDP的攻擊

40、，應(yīng)急處理手段主要包括開啟首包檢查防御、配置UDP Flood關(guān)聯(lián)TCP類服務(wù)防御及配置UDP防御。 HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0009.html DNS防御針對協(xié)議類型為DNS的攻擊，應(yīng)急處理手段主要包括開啟首包檢查防御、配置DNS Request Flood防御、配置域名限速及配置DNS

41、源IP請求限速。 HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0011.html HTTP防御針對協(xié)議類型為HTTP的攻擊，應(yīng)急處理手段主要包括開啟首包檢查防御、配置HTTP源認(rèn)證防御、配置HTTP URI行為監(jiān)控及配置HOST過濾。 HYPERLINK mk:MSITStore:C:Users何昌龍Desk

42、top萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0010.html SIP防御針對協(xié)議類型為SIP的攻擊，應(yīng)急處理手段主要是配置SIP防御和開啟首包檢查防御。 HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%2

43、0產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0012.html HTTPS防御針對協(xié)議類型為HTTPS的攻擊，應(yīng)急處理手段主要是配置HTTPS防御和開啟首包檢查防御。 父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0004.html o 當(dāng)

44、防御失效時，先檢查白名單，再結(jié)合專用應(yīng)急方法和通用應(yīng)急方法進(jìn)行處理。 防御失效時的應(yīng)急方法TCP防御針對協(xié)議類型為TCP的攻擊，應(yīng)急處理手段主要包括配置SYN Flood防御、SYN-ACK Flood防御、FIN/RST Flood防御，開啟首包檢查及配置真實源IP限速。操作步驟登錄管理中心，配置SYN Flood防御、SYN-ACK Flood防御、FIN/RST Flood防御。 選擇“配置 Anti-DDoS 防護(hù)對象管理”。 單擊防護(hù)對象對應(yīng)的。 在“服務(wù)配置”頁簽中，單擊相應(yīng)服務(wù)對應(yīng)“操作”列的。 單擊“TCP防御”頁簽，配置SYN Flood防御、SYN-ACK Flood防御、

45、FIN/RST Flood防御。 建議通過基線學(xué)習(xí)配置包速率閾值。單擊“確定”。 當(dāng)這些防御手段的防御效果不理想時，說明攻擊報文可能是由真實源發(fā)出，請執(zhí)行HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0006.html l vsm_emerg_maint_0006_step012。在清洗設(shè)備上開啟首包檢查防御。

46、 system-viewdevice anti-ddos first-packet-check tcpdevice anti-ddos first-packet-check syn如果開啟了首包檢查防御，防御效果仍不理想，請執(zhí)行HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0006.html l vsm_eme

47、rg_maint_0006_step023。在管理中心上配置真實源IP限速。 真實源IP發(fā)起的TCP報文中，除ACK報文外全部報文和ACK報文的比值超過“TCP-Ratio比例閾值”時，啟動限速。將除ACK報文外全部報文速率限制在“限速閾值”內(nèi)。將管理中心上的配置部署到網(wǎng)元側(cè)，使之生效。 選擇“配置 Anti-DDoS 防護(hù)對象管理”。 選中防護(hù)對象前的復(fù)選框，單擊。 父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解

48、決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0005.html o 專用應(yīng)急方法適用于針對不同協(xié)議類型的攻擊。 專用應(yīng)急方法UDP防御針對協(xié)議類型為UDP的攻擊，應(yīng)急處理手段主要包括開啟首包檢查防御、配置UDP Flood關(guān)聯(lián)TCP類服務(wù)防御及配置UDP防御。操作步驟在清洗設(shè)備上開啟首包檢查防御。 device system-viewdevice anti-ddos first-packet-check udp如果開啟了首包檢查防御，防御效果仍不理想，請執(zhí)行HYPERLINK mk:MSITStore:C:Users何昌龍

49、Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0007.html l vsm_emerg_maint_0007_step012。如果正常業(yè)務(wù)中UDP流量與TCP流量、HTTP流量、HTTPS流量有關(guān)聯(lián)時，配置UDP Flood關(guān)聯(lián)TCP類服務(wù)防御。 創(chuàng)建待關(guān)聯(lián)的TCP類服務(wù)。 在管理中心中，選擇“配置 Anti-DDoS 防護(hù)對象管理”。單擊防護(hù)對象對應(yīng)的在“服務(wù)配置”頁簽中

50、，單擊創(chuàng)建待關(guān)聯(lián)的TCP類服務(wù)。配置UDP Flood關(guān)聯(lián)TCP類服務(wù)防范。 在“服務(wù)配置”頁簽中，單擊相應(yīng)服務(wù)對應(yīng)的。單擊“UDP防御”頁簽。 配置UDP Flood關(guān)聯(lián)TCP類服務(wù)防范。單擊“確定”。當(dāng)正常業(yè)務(wù)中UDP流量與TCP流量、HTTP流量、HTTPS流量沒有關(guān)聯(lián)，無法使用以上UDP Flood關(guān)聯(lián)TCP類服務(wù)防御或者防御效果不佳時，則請先取消UDP Flood關(guān)聯(lián)TCP類服務(wù)防范，按照以下方式配置UDP防御。 當(dāng)設(shè)備接收到的UDP報文流速超過“帶寬閾值”時，設(shè)備向管理中心上報異常事件，并啟動載荷檢查和指紋學(xué)習(xí)。載荷檢查指如果UDP報文數(shù)據(jù)段內(nèi)容完全一樣，則會被認(rèn)為是攻擊而丟棄報文

51、。指紋學(xué)習(xí)是通過指紋學(xué)習(xí)，攔截匹配的報文.將管理中心上的配置部署到網(wǎng)元側(cè)，使之生效。 選擇“配置 Anti-DDoS 防護(hù)對象管理”。 選中防護(hù)對象前的復(fù)選框，單擊。 父主題： HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0005.html o 專用應(yīng)急方法適用于針對不同協(xié)議類型的攻擊。 專用應(yīng)急方法DNS防

52、御針對協(xié)議類型為DNS的攻擊，應(yīng)急處理手段主要包括開啟首包檢查防御、配置DNS Request Flood防御、配置域名限速及配置DNS源IP請求限速。操作步驟在清洗設(shè)備上開啟首包檢查防御。 system-viewdevice anti-ddos first-packet-check dns如果開啟了首包檢查防御，防御效果仍不理想，請執(zhí)行HYPERLINK mk:MSITStore:C:Users何昌龍Desktop萬國數(shù)據(jù)提交文檔網(wǎng)絡(luò)設(shè)備恢復(fù)手冊HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解決方案%20產(chǎn)品文檔%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0009.html l vsm_emerg_maint_0009_step012。登錄管理中心，配置DNS