创建过滤器,并将防护对象和过滤器关联起来,用于清洗设备对去往防护对象的流量进行静态过滤。
过滤器分类
AntiDDoS提供了IP、TCP、UDP、HTTP、DNS、ICMP、SIP共七种类型的过滤器,具体请参见表1。
IP过滤器可以处理所有的IP报文,其他过滤器只能处理自身协议的报文,例如HTTP过滤器只能处理HTTP报文。
每台设备上最多可配置512个过滤器。
| 过滤器 | 过滤内容 |
|---|---|
| IP协议 | 源IP、目的IP、报文长度、TTL、指纹、协议、DSCP、分片类型。 |
| TCP协议 | 源IP、目的IP、报文长度、TTL、指纹、DSCP、分片类型、TCP标记位、源端口、目的端口。 |
| UDP协议 | 源IP、目的IP、报文长度、TTL、指纹、DSCP、分片类型、源端口、目的端口。 |
| ICMP协议 | 源IP、目的IP、报文长度、TTL、指纹、DSCP、分片类型。 |
| HTTP协议 | 源IP、目的IP、报文长度、TTL、指纹、DSCP、分片类型、TCP标记位、源端口、HTTP字段(包括opcode、cookie、host、referer、user-agent)、HTTP请求类型URI。 |
| DNS协议 | 源IP、目的IP、报文长度、TTL、指纹、DSCP、分片类型、源端口、DNS qr(Query和Reply)、DNS字段(包括domain、type)。 |
| SIP协议 | 源IP、目的IP、报文长度、TTL、指纹、DSCP、分片类型、源端口、Caller、Callee。 |
过滤器模板
ATIC管理中心缺省提供20个常用的过滤器模板,方便用户直接选用。
| DNS_Amplification | 针对DNS反射放大攻击。 |
| Chargen_Amplification | 针对Chargen反射放大攻击。 |
| SNMP_Amplification | 针对SNMP反射放大攻击。 |
| TFTP_Amplification | 针对TFTP反射放大攻击。 |
| NTP_Amplification | 针对NTP反射放大攻击。 |
| NetBIOS_Amplification | 针对NetBIOS反射放大攻击。 |
| SSDP_Amplification_Attack | 针对SSDP反射放大攻击。 |
| QOTD_Amplification | 针对QOTD反射放大攻击。 |
| Quake_Network_Protocol | 针对Quake反射放大攻击。 |
| Steam_Protocol_Amplification | 针对Steam反射放大攻击。 |
| Portmapper_Amplification | 针对Portmapper反射放大攻击。 |
| Wordpress_Amplification | 针对Wordpress反射放大攻击。 |
| Microsoft_SQL_Resolution_Service_Amplification | 针对SQL反射放大攻击。 |
| RIPV1_Amplification_Attack | 针对RIPV1反射放大攻击。 |
| Sentinel_Amplification_Attack | 针对Sentinel反射放大攻击。 |
| LDAP_Amplification_Attack | 针对LDAP反射放大攻击 |
| QUIC | 针对QUIC反射放大攻击。 |
| mDNS_Amplification | 针对mDNS反射放大攻击。 |
| Memcached_Amplification | 针对Memcached反射放大攻击。 |
| IPMI_Amplification_Attack | 针对IPMI反射放大攻击。 |
用户可以根据实际情况,对模板进行编辑、删除等操作。
过滤器匹配顺序
从上到下依次匹配列表中的过滤器。命中后执行该过滤器中定义的动作,并停止继续匹配过滤器;如果没有命中,则继续从上到下匹配过滤器。
管理操作
选择,配置过滤器。
| 操作 | 说明 |
|---|---|
创建 |
单击 |
修改 |
单击“操作”列的 |
删除 |
选中过滤器前的复选框,单击 |
查询 |
在“名称”中输入过滤器名称的部分或全部信息,单击 |
