防护对象异常抓包针对防护对象不同类型的异常报文进行抓包,用以协助分析异常事件。防护对象异常抓包任务基于异常类型进行抓包计数,一次抓包过程结束后抓包任务仍处于“启用”状态,下次异常到来时会再次开始抓包过程。
前提条件
已经完成了业务配置。
已经配置抓包长度,具体请参见配置抓包长度。
确保防护对象被成功地部署策略。
操作步骤
- 选择。
- 在“抓包任务”界面,单击
。 - 在“创建抓包任务”界面,从“抓包类型”对应的下拉列表中选择“防护对象异常抓包”。
- 配置其他基本信息,参数说明请参见表1。
表1 创建抓包任务参数
|
说明
|
取值建议
|
|---|
任务名称
|
抓包任务名称。
|
名称不能为null,可以为中文、数字、字母、特殊字符“!”、“@”、“#”、“$”、“*”、“^”、“+”、“-”、“=”、“|”、“}”、“{”、“]”、“[”、“;”、“?”、“/”、“.”。
|
采样比
|
符合抓包条件的报文数量与抓取的报文数量的比值。
|
默认值为“1024:1”,表示设备对收到的符合抓包条件的报文,每1024个抓取一个。
|
抓包数量
|
抓包类型为“全局丢弃抓包”和“ACL抓包”时,抓包数量表示设备抓取报文的总数量。
当设备抓取的报文数量达到“抓包数量”时,生成一个抓包文件,抓包过程结束,此抓包任务变为“禁用”状态。
抓包类型为“防护对象攻击抓包”和“防护对象异常抓包”时,抓包数量表示设备一个CPU抓取每种攻击/异常类型报文的数量。
例如,当前设备有4个CPU, “抓包数量”设置为 “1000”,此时发生一次攻击,包含ACK Flood和UDP Flood两种攻击报文,则抓包任务的结果是: - 抓取ACK Flood报文4*1000个,生成4个抓包文件。
- 抓取UDP Flood报文4*1000个,生成4个抓包文件。
抓包过程结束后,抓包任务仍处于“启用”状态,下次攻击到来时再次开始抓包过程。
|
默认值为“1000”。
|
抓包时长
|
抓包任务从启用到结束所用时长。
|
单位为秒,取值范围为5~3600。
当“抓包时长”无输入值时,默认值为“0”,表示抓包不受时长限制。
|
- 单击“下一步”。
- 单击
,在防护对象列表中选中防护对象,单击“确定”,添加防护对象。 - 单击“下一步”。
- 单击,选择检测/清洗设备,添加设备。单击“确定”
- 在“创建抓包任务”界面,单击“完成”。
返回“抓包任务”界面。抓包任务显示在列表中。
- 选中抓包任务名称前的复选框,单击
,启用抓包任务。
同一时间内对于每个防护对象只能启用一个防护对象异常抓包任务。
后续处理
当需要禁用、查看或删除抓包任务时,请参见管理抓包任务。