防护对象异常抓包针对防护对象不同类型的异常报文进行抓包,用以协助分析异常事件。防护对象异常抓包任务基于异常类型进行抓包计数,一次抓包过程结束后抓包任务仍处于“启用”状态,下次异常到来时会再次开始抓包过程。
操作步骤
- 选择。
- 在“抓包任务”界面,单击
。 - 在“创建抓包任务”界面,从“抓包类型”对应的下拉列表中选择“防护对象异常抓包”。
- 配置其他基本信息,参数说明请参见表1。
表1 创建抓包任务 参数 说明 取值建议 任务名称 抓包任务名称。 名称不能为null,可以为中文、数字、字母、特殊字符“!”、“@”、“#”、“$”、“*”、“^”、“+”、“-”、“=”、“|”、“}”、“{”、“]”、“[”、“;”、“?”、“/”、“.”。 采样比 符合抓包条件的报文数量与抓取的报文数量的比值。 默认值为“1024:1”,表示设备对收到的符合抓包条件的报文,每1024个抓取一个。 抓包数量 抓包类型为“全局丢弃抓包”和“ACL抓包”时,抓包数量表示设备抓取报文的总数量。
当设备抓取的报文数量达到“抓包数量”时,生成一个抓包文件,抓包过程结束,此抓包任务变为“禁用”状态。
抓包类型为“防护对象攻击抓包”和“防护对象异常抓包”时,抓包数量表示设备一个CPU抓取每种攻击/异常类型报文的数量。
例如,当前设备有4个CPU,“抓包数量”设置为“1000”,此时发生一次攻击,包含ACK Flood和UDP Flood两种攻击报文,则抓包任务的结果是:- 抓取ACK Flood报文4*1000个,生成4个抓包文件。
- 抓取UDP Flood报文4*1000个,生成4个抓包文件。
抓包过程结束后,抓包任务仍处于“启用”状态,下次攻击到来时再次开始抓包过程。
默认值为“1000”。 - 单击“下一步”。
- 单击
,在防护对象列表中选中防护对象,单击“确定”,添加防护对象。 - 单击“下一步”。
- 单击,选择检测/清洗设备,添加设备。单击“确定”
- 在“创建抓包任务”界面,单击“完成”。
返回“抓包任务”界面。抓包任务显示在列表中。
- 选中抓包任务名称前的复选框,单击
,启用抓包任务。
说明: 同一时间内对于每个防护对象只能启用一个防护对象异常抓包任务。