对抓包类型为“全局丢弃抓包”、“防护对象攻击抓包”或“防护对象异常抓包”的抓包文件,可以通过攻击溯源获得攻击源信息。还能够将可疑的源IP地址加入黑名单,有效地防御攻击。
前提条件
已创建并启用抓包类型为“全局丢弃抓包”、“防护对象攻击抓包”或“防护对象异常抓包”的抓包任务。
操作步骤
- 选择。
- 单击“抓包文件”页签。
- 单击某个抓包文件对应操作栏中的
,对抓包文件进行攻击溯源。
- 在“攻击溯源”界面,查看攻击溯源的结果。参数说明请参见表1。
表1 攻击溯源
| 参数 |
说明 |
| 源IP地址 |
攻击者的源IP。 |
| 协议类型 |
攻击报文的协议类型, |
| 目的端口 |
攻击报文使用的目的端口。 |
| 攻击报文数 |
此攻击者发动攻击的次数。 |
- 可选:选中一条或多条攻击记录前的复选框,单击“添加黑名单”。可疑IP地址会显示在此防护对象的黑名单列表中。您需要将其部署到设备上才能生效,部署过程请参见部署防御策略。
说明: “黑名单”是针对防护对象的,只有“防护对象攻击抓包任务”和“防护对象异常抓包任务”开启后抓到的报文,经过溯源后产生的攻击源信息,才可以添加到黑名单。
- 单击“关闭”,返回“抓包文件”界面。