配置静态黑洞

操作步骤

• 创建静态黑洞
  1. 选择“防御 > 策略配置 > 黑洞”。
  2. 在“黑洞”界面，单击。
  3. 选择“黑洞方式”，配置需要黑洞引流的IP地址和子网掩码。参数说明请参见表1。

     表1 黑洞方式

     参数	说明
     路由黑洞	当选择“路由黑洞”模式时，ATIC向AntiDDoS设备下发该IP下一跳为NULL 0的路由，然后由AntiDDoS设备通过BGP通告给上游黑洞路由器，由上游路由器执行对该IP的黑洞。 说明： 负责执行黑洞路由的上游路由器和AntiDDoS设备之间的BGP peer需要作为预配置提前配置。
     第三方	当选择“第三方”模式时，ATIC调用API接口向第三方请求执行黑洞，由第三方执行对该IP的黑洞。 说明： 配置第三方黑洞前需要先通过ATIC“配置黑洞API”配置第三方接收信息。具体配置方法请参见：配置黑洞API。
     接口板黑洞	当选择“接口板黑洞 ”模式时，ATIC 向AntiDDoS设备下发对需要被“黑洞”的IP的硬件阻断策略，由接口板执行对该IP的黑洞。 说明： 仅支持插有LPU240或LPU120的AntiDDoS8000系列。

  4. 可选：选择“自动启用”。
     说明：

     静态黑洞创建时，如果选择“自动启用”，该黑洞策略会立即生效。

     静态黑洞创建时，如果没有选择“自动启用”，还可以通过“启用”此条静态黑洞策略，进行生效。

  5. 单击“确定”。
     说明：

     执行黑洞后，到指定“目的IP地址”的流量会全部丢弃，请慎重使用。

• 配置黑洞API
  1. 选择“防御 > 策略配置 > 黑洞”。
  2. 在“黑洞”界面，单击。
  3. 选择服务器商，并配置相关参数进行认证。参数说明请参见表2。

     表2 配置黑洞API

     参数	说明
     服务商	支持电信云堤。
     启用黑洞API	选择是否启用此服务商黑洞API。只有启用了此服务商的黑洞API功能，才可以创建黑洞API引流策略。
     默认封堵策略	仅电信云堤支持此参数。 选择封堵策略。 一旦出现攻击，启动相应的策略。 封堵全网 封堵国内其他运营商 封堵国外运营商 封堵其他运营商(仅电信网可以访问)
     URL	服务商黑洞API的URL。
     接入秘钥	服务商黑洞API的认证接入秘钥。
     加密秘钥	服务商黑洞API的认证加密秘钥。 加密秘钥建议由字母、数字（0～9）、特殊字符（如!、#、$、%等）组成，请定期修改加密秘钥。
     解封定时时间	黑洞API引流的老化时间。启动黑洞API引流后开始计时，达到此时间后，自动取消黑洞API引流。单位是分钟（m），取值范围为5～1400。

  4. 单击“测试”，进行信息认证。
  5. 认证通过后，单击“确定”。
     说明：

     使用黑洞API功能时，为了保证ATIC侧时钟与电信云堤一致，需要配置ATIC服务器的时钟与互联网同步。