ACL抓包是指抓取通过AntiDDoS的,且符合某条ACL规则的报文。一般在没有攻击时抓取流量报文,提取正常流量特征,以便在提取攻击特征时作为对比条件;也可以用在防御失败时,例如AntiDDoS没有检测到攻击,而受保护的网络出现丢包或无法访问,可以采用ACL抓包确认攻击报文类型,协助分析防御失败原因。一次抓包过程结束后ACL抓包任务会变为“禁用”状态,下次执行时需要手动启用。
操作步骤
- 选择。
- 在“抓包任务”界面,单击
。 - 在“创建抓包任务”界面,从“抓包类型”对应的下拉列表中选择“ACL抓包”。
- 配置其他基本信息,参数说明请参见表1。
表1 创建抓包任务 参数 说明 取值建议 任务名称 抓包任务名称。 名称不能为null,可以为中文、数字、字母、特殊字符“!”、“@”、“#”、“$”、“*”、“^”、“+”、“-”、“=”、“|”、“}”、“{”、“]”、“[”、“;”、“?”、“/”、“.”。 采样比 符合抓包条件的报文数量与抓取的报文数量的比值。 默认值为“1024:1”,表示设备对收到的符合抓包条件的报文,每1024个抓取一个。 抓包数量 抓包类型为“全局丢弃抓包”和“ACL抓包”时,抓包数量表示设备抓取报文的总数量。
当设备抓取的报文数量达到“抓包数量”时,生成一个抓包文件,抓包过程结束,此抓包任务变为“禁用”状态。
抓包类型为“防护对象攻击抓包”和“防护对象异常抓包”时,抓包数量表示设备一个CPU抓取每种攻击/异常类型报文的数量。
例如,当前设备有4个CPU,“抓包数量”设置为“1000”,此时发生一次攻击,包含ACK Flood和UDP Flood两种攻击报文,则抓包任务的结果是:- 抓取ACK Flood报文4*1000个,生成4个抓包文件。
- 抓取UDP Flood报文4*1000个,生成4个抓包文件。
抓包过程结束后,抓包任务仍处于“启用”状态,下次攻击到来时再次开始抓包过程。
默认值为“1000”。 - 创建ACL规则。
- 在“ACL规则”区域框中,单击。
- 在“ACL规则”区域框中,单击
- 单击“下一步”。
- 单击
,选择检测/清洗设备,添加设备。单击“确定”在“创建抓包任务”界面,点击“VPN”列选择VPN实例。
- 在“创建抓包任务”界面,单击“完成”。
返回“抓包管理”界面。抓包任务显示在列表中。
- 选中抓包任务名称前的复选框,单击
,启用抓包任务。
说明: 同一时间内一台AntiDDoS上只能启用一个ACL抓包任务。