<返回更多

华安解密之DDoS攻防 21 引流回注的成败之谜

2020-06-11    
加入收藏

在前面的技术贴中,华安重点介绍了Anti-DDoS解决方案引流回注的实现。小伙伴们看完后纷纷表现出很大的兴趣,但配置完成就能确保引流回注的功能可用了吗?本文将通过对引流和回注功能的验证,来排查路由器、检测设备、清洗设备和ATIC的各项配置是否正确。

0x01 前期准备

组网示意图

华安解密之DDoS攻防 21 引流回注的成败之谜

 

准备环境

1. 一个外网PC,在upper-layer network上。

2. 一个内网Web服务器,在protected network中。

3. 通过外网PC向Web服务器发送SYN报文。

0x02 测试步骤

1. 通过PC可以成功访问Web服务器。

2. 将Web服务器IP地址加入防护对象,并且关联检测和清洗设备。

a. 选择“防御 > 策略配置 > 防护对象”。在“防护对象列表”界面,单击“创建”,配置防护对象的基本信息。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

b. 在“创建防护对象”界面,单击“IP地址”页签。单击“创建”,配置自定义防护对象的IP地址。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

c. 单击“设备”页签,为防护对象关联AntiDDoS设备。选中设备前的复选框,单击“确定”。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

d. 单击“确定”,在ATIC管理中心上完成创建防护对象;单击“部署”,将防护对象配置直接部署到AntiDDoS设备。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

3. 修改检测设备的SYN Flood防御阈值为1,修改清洗设备的SYN Flood防御阈值为1。

a. 选择“防御 > 策略配置 > 防护对象”。单击防护对象对应的按钮,将引流模式和防御模式修改为“自动执行”。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

b. 在“防御策略”页签中,单击“操作”列的设置按钮。选择“TCP”页签,修改检测设备的SYN Flood防御阈值为1,修改清洗设备的SYN Flood防御阈值为1。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

c. 如果部署状态变化为“部分部署”,则需要重新部署。

4. 为了避免测试不产生任何效果,需要选择“告警 >告警管理 > 告警分级规则”。单击“修改”,允许小流量触发告警:缺省和修改的过程。

注意:测试结束后需要改回来,避免产生过多的告警。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

5. 通过外网PC持续访问Web服务器(F5)。

0x03 期望的测试结果

1. ATIC上发现防护对象异常状态,点击进去后可以看到检测设备异常。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 


华安解密之DDoS攻防 21 引流回注的成败之谜

 

2. 点击F5持续发送SYN报文。

3. 选择“报表 > 专项报表 > 流量分析”,选择“流量对比”页签。从下拉列表中选择检测设备或清洗设备,分别查看相对应的报表。检测设备和清洗设备的报表中都可以看到流量。

0x04 测试原理

0x05 故障排查

1. 当ATIC上没有发现异常时,故障排查可分为:检查设备自身、检查中间链路上是否有设备拦截了日志以及检查ATIC服务器是否正常三部分。

a. 检测设备自身检查。流量是否经过了检测设备,可以通过查询报表看是否有对应的流量信息。

如果有流量,需要看流量是否超过配置的阈值(pps)。

如果没有流量,需要检查设备的配置:

设备的检测口是否配置了检测功能,正确配置了检测功能如下图所示。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

查看检测设备上配置的与ATIC通讯的IP是否正确。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

设备与ATIC通信的接口需要配置。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

b. 检查中间链路上是否有设备拦截了日志。设备与ATIC之间的防火墙需要开启如下端口:

源设备 源端口 目的设备 目的端口 协议 端口说明 Device 1024-65535 ATIC 162

SNMP

TRAP(UDP)

SNMPtrap端口 Device 1024-65535 ATIC采集器 9110 UDP 接收流量日志的端口 Device1024-65535 ATIC采集器 9112 UDP 接收抓包日志的端口 Device 1024-65535 ATIC 514UDP

Syslog日志接收端口

ATIC 1024-65535 Device 161 SNMP 设备SNMP管理端口 ATIC 1024-65535 Device23 Telent 设备Telent管理端口 ATIC 1024-65535 Device 22 SSH 设备SSH管理端口ATIC 1024-65535 Device 21 FTP 设备FTP管理端口

c. ATIC是否工作正常。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 


华安解密之DDoS攻防 21 引流回注的成败之谜

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

说明:如果采集器处于离线状态,需要登录到ATIC的服务器上,查看对应的服务是否都已经启动。

2. ATIC上有异常,但没有发生引流。

a. 检查如下引流的条件是否满足。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

 

b. 查看引流任务是否生成。

c. 查看引流任务是否下发到设备。

d. 检查路由器和AntiDDoS的BGP设置。

3. 发生了引流,但是清洗设备看不到流量信息。

a. 接口是否开启流量统计和清洗功能。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

b. 检查清洗设备的配置,发送日志的IP地址和ATIC的IP地址是否正确。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

 

c. 检查中间链路上是否有设备拦截了日志。

请参考上文:“中间链路上是否有设备拦截了日志”部分。

d. ATIC是否工作正常。

请参考上文:“ATIC是否工作正常”部分。

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>