防护对象攻击抓包针对由于防护对象受到攻击导致丢弃的报文进行抓包,用以协助分析攻击事件。防护对象攻击抓包任务基于受攻击类型进行抓包计数,一次抓包过程结束后抓包任务仍处于“启用”状态,下次攻击到来时会再次开始抓包过程。
操作步骤
- 选择。
- 在“抓包任务”界面,单击
。 - 在“创建抓包任务”界面,从“抓包类型”对应的下拉列表中选择“防护对象攻击抓包”。
- 配置其他基本信息,参数说明请参见表1。
表1 创建抓包任务 参数 说明 取值建议 任务名称 抓包任务名称。 名称不能为null,可以为中文、数字、字母、特殊字符“!”、“@”、“#”、“$”、“*”、“^”、“+”、“-”、“=”、“|”、“}”、“{”、“]”、“[”、“;”、“?”、“/”、“.”。 采样比 符合抓包条件的报文数量与抓取的报文数量的比值。 默认值为“1024:1”,表示设备对收到的符合抓包条件的报文,每1024个抓取一个。 抓包数量 抓包类型为“全局丢弃抓包”和“ACL抓包”时,抓包数量表示设备抓取报文的总数量。
当设备抓取的报文数量达到“抓包数量”时,生成一个抓包文件,抓包过程结束,此抓包任务变为“禁用”状态。
抓包类型为“防护对象攻击抓包”和“防护对象异常抓包”时,抓包数量表示设备一个CPU抓取每种攻击/异常类型报文的数量。
例如,当前设备有4个CPU,“抓包数量”设置为“1000”,此时发生一次攻击,包含ACK Flood和UDP Flood两种攻击报文,则抓包任务的结果是:- 抓取ACK Flood报文4*1000个,生成4个抓包文件。
- 抓取UDP Flood报文4*1000个,生成4个抓包文件。
抓包过程结束后,抓包任务仍处于“启用”状态,下次攻击到来时再次开始抓包过程。
默认值为“1000”。 - 单击“下一步”。
- 单击
,在防护对象列表中选中防护对象,单击“确定”,添加防护对象。 - 单击“下一步”。
- 单击,选择检测/清洗设备,添加设备。单击“确定”
- 在“创建抓包任务”界面,单击“完成”。
返回“抓包任务”界面。抓包任务显示在列表中。
- 选中抓包任务名称前的复选框,单击
,启用抓包任务。
说明: 同一时间内对于每个防护对象只能启用一个防护对象攻击抓包任务。