抓包用于获取网络流量数据和定位网络问题。
抓包功能是AntiDDoS按照管理中心下发的抓包任务抓取报文,抓到的报文封装成固定格式发送给Anti-DDoS采集器进行解析。
实际应用中,该功能主要用于分析和定位网络问题。不同的抓包类型有不同的应用场景:
ACL抓包
AntiDDoS没有检测到攻击,而受保护的网络出现丢包或无法访问,可以采用ACL抓包确认攻击报文类型,协助分析防御失败原因。
全局丢弃抓包
对AntiDDoS因畸形报文检查、包过滤等非DDoS防御导致丢弃的报文进行抓包,用以分析业务中断原因。
防护对象攻击抓包
针对由于防护对象受到攻击导致丢弃的报文进行抓包,用以协助分析攻击事件。
防护对象异常抓包
针对防护对象不同类型的异常报文进行抓包,用以协助分析异常事件。
抓包任务完成后,抓取的报文保存成抓包文件。通过抓包文件查看攻击事件、进行攻击溯源、报文解析和指纹提取,能够有效定位攻击,获取攻击者详细信息及特征,为制定合理的防御策略提供依据。也可以将抓包文件下载到本地进行其他处理。
查看攻击事件
通过查看抓包文件关联的异常/攻击事件,分析此次异常/攻击的详情。
攻击溯源
通过攻击溯源获得攻击源信息。还能够将可疑的源IP地址加入静态黑名单,有效地防御攻击。
报文解析
通过报文解析获得每个报文的详细信息。
提取指纹
通过提取指纹来提取异常或攻击报文的特征。还能够将提取的指纹添加到防护对象指纹列表中,作为流量清洗的依据。
下载抓包文件
将抓包文件下载到本地保存,用于其他处理。