ACL抓包是指抓取通过AntiDDoS的,且符合某条ACL规则的报文。一般在没有攻击时抓取流量报文,提取正常流量特征,以便在提取攻击特征时作为对比条件;也可以用在防御失败时,例如AntiDDoS没有检测到攻击,而受保护的网络出现丢包或无法访问,可以采用ACL抓包确认攻击报文类型,协助分析防御失败原因。一次抓包过程结束后ACL抓包任务会变为“禁用”状态,下次执行时需要手动启用。
操作步骤
- 选择。
- 在“抓包任务”界面,单击
。 - 在“创建抓包任务”界面,从“抓包类型”对应的下拉列表中选择“ACL抓包”。
- 配置其他基本信息,参数说明请参见表1。
表1 创建抓包任务参数
|
说明
|
取值建议
|
|---|
任务名称
|
抓包任务名称。
|
名称不能为null,可以为中文、数字、字母、特殊字符“!”、“@”、“#”、“$”、“*”、“^”、“+”、“-”、“=”、“|”、“}”、“{”、“]”、“[”、“;”、“?”、“/”、“.”。
|
采样比
|
符合抓包条件的报文数量与抓取的报文数量的比值。
|
默认值为“1024:1”,表示设备对收到的符合抓包条件的报文,每1024个抓取一个。
|
抓包数量
|
抓包类型为“全局丢弃抓包”和“ACL抓包”时,抓包数量表示设备抓取报文的总数量。
当设备抓取的报文数量达到“抓包数量”时,生成一个抓包文件,抓包过程结束,此抓包任务变为“禁用”状态。
抓包类型为“防护对象攻击抓包”和“防护对象异常抓包”时,抓包数量表示设备一个CPU抓取每种攻击/异常类型报文的数量。
例如,当前设备有4个CPU, “抓包数量”设置为 “1000”,此时发生一次攻击,包含ACK Flood和UDP Flood两种攻击报文,则抓包任务的结果是: - 抓取ACK Flood报文4*1000个,生成4个抓包文件。
- 抓取UDP Flood报文4*1000个,生成4个抓包文件。
抓包过程结束后,抓包任务仍处于“启用”状态,下次攻击到来时再次开始抓包过程。
|
默认值为“1000”。
|
抓包时长
|
抓包任务从启用到结束所用时长。
|
单位为秒,取值范围为5~3600。
当“抓包时长”无输入值时,默认值为“0”,表示抓包不受时长限制。
|
- 创建ACL规则。
- 在“ACL规则”区域框中,单击。
- 配置各参数,参数说明请参见表2。
表2 创建ACL规则参数
|
说明
|
|---|
IP类型
|
指定报文是IPv4或者IPv6。
|
协议类型
|
指定报文的协议类型。
|
源IP地址
|
发送报文的源IP地址及子网掩码。
|
源端口
|
指定报文的源端口号。
|
目的IP地址
|
接收报文的目的IP地址及子网掩码。
|
目的端口
|
指定报文的目的端口。
|
- 单击“确定”。
- 单击“下一步”。
- 单击
,选择检测/清洗设备,添加设备。单击“确定”在“创建抓包任务”界面,点击“vpn”列选择VPN实例。
- 在“创建抓包任务”界面,单击“完成”。
返回“抓包任务”界面。抓包任务显示在列表中。
- 选中抓包任务名称前的复选框,单击
,启用抓包任务。
同一时间内一台AntiDDoS上只能启用一个ACL抓包任务。
后续处理
当需要禁用、查看或删除抓包任务时,请参见管理抓包任务。