DDOS网络恢复技术手册

1、 DDOS 网络恢复技术手册 目 录 TOC o 1-3 h z u HYPERLINK l _Toc40516998 一、采集故障数据 PAGEREF _Toc40516998 h 4 HYPERLINK l _Toc40516999 二、修复MySQL数据库 PAGEREF _Toc40516999 h 7 HYPERLINK l _Toc40517000 现象描述 PAGEREF _Toc40517000 h 7 HYPERLINK l _Toc40517001 可能原因 PAGEREF _Toc40517001 h 7 HYPERLINK l _Toc40517002 处理步骤 PAG

2、EREF _Toc40517002 h 7 HYPERLINK l _Toc40517003 建议与总结 PAGEREF _Toc40517003 h 9 HYPERLINK l _Toc40517004 三、管理中心服务启动失败 PAGEREF _Toc40517004 h 9 HYPERLINK l _Toc40517005 现象描述 PAGEREF _Toc40517005 h 9 HYPERLINK l _Toc40517006 可能原因 PAGEREF _Toc40517006 h 9 HYPERLINK l _Toc40517007 处理步骤 PAGEREF _Toc4051700

3、7 h 9 HYPERLINK l _Toc40517008 四、网元呈离线状态 PAGEREF _Toc40517008 h 10 HYPERLINK l _Toc40517009 现象描述 PAGEREF _Toc40517009 h 10 HYPERLINK l _Toc40517010 可能原因 PAGEREF _Toc40517010 h 10 HYPERLINK l _Toc40517011 处理步骤 PAGEREF _Toc40517011 h 10 HYPERLINK l _Toc40517012 五、查询告警、手动确认告警或清除告警时响应慢 PAGEREF _Toc40517

4、012 h 11 HYPERLINK l _Toc40517013 现象描述 PAGEREF _Toc40517013 h 11 HYPERLINK l _Toc40517014 可能原因 PAGEREF _Toc40517014 h 11 HYPERLINK l _Toc40517015 处理步骤 PAGEREF _Toc40517015 h 11 HYPERLINK l _Toc40517016 六、管理中心上Anti-DDoS采集器连接状态异常 PAGEREF _Toc40517016 h 11 HYPERLINK l _Toc40517017 现象描述 PAGEREF _Toc4051

5、7017 h 11 HYPERLINK l _Toc40517018 可能原因 PAGEREF _Toc40517018 h 11 HYPERLINK l _Toc40517019 处理步骤 PAGEREF _Toc40517019 h 12 HYPERLINK l _Toc40517020 七、管理中心上无法查看到防护对象的流量 PAGEREF _Toc40517020 h 12 HYPERLINK l _Toc40517021 现象描述 PAGEREF _Toc40517021 h 12 HYPERLINK l _Toc40517022 可能原因 PAGEREF _Toc40517022

6、h 13 HYPERLINK l _Toc40517023 处理步骤 PAGEREF _Toc40517023 h 13 HYPERLINK l _Toc40517024 八、处理流程 PAGEREF _Toc40517024 h 14 HYPERLINK l _Toc40517025 九、确认攻击发生 PAGEREF _Toc40517025 h 14 HYPERLINK l _Toc40517026 十、确认清洗情况 PAGEREF _Toc40517026 h 15 HYPERLINK l _Toc40517027 十一、检查白名单 PAGEREF _Toc40517027 h 16 H

7、YPERLINK l _Toc40517028 十二、专用应急方法 PAGEREF _Toc40517028 h 17 HYPERLINK l _Toc40517029 十三、TCP防御 PAGEREF _Toc40517029 h 18 HYPERLINK l _Toc40517030 十四、UDP防御 PAGEREF _Toc40517030 h 19 HYPERLINK l _Toc40517031 DNS防御 PAGEREF _Toc40517031 h 22采集故障数据遇到系统故障时，需要及时记录及收集相关数据信息，以便定位问题及处理。记录故障信息表1 故障信息记录项采集项说明时间和

8、地点故障发生的时间和地点。时间需要精确到分钟。现象描述描述故障发生时的现象，越具体越有助于故障的定位。已采取的措施和结果在现场采取初步的故障处理措施之后，有可能会出现新的问题，需要将已采取措施的操作步骤和出现的结果进行详细记录。查看管理中心版本信息如果能够登录管理中心界面，单击界面右上角的，查看管理中心版本信息。 如果不能登录管理中心界面，则在“安装目录Runtimebin”目录下，双击“showVersion.bat”来查看版本信息。 在实际操作时安装目录需要替换为管理中心服务器安装完成后的目录。默认路径为“D:VSMRuntimebinshowVersion.bat”。告警信息收集告警信息

9、，尤其注意管理中心告警或异常事件。登录管理中心界面。 选择“告警 告警管理 当前告警”。 选中告警前的复选框，或单击标题栏复选框选中所有告警，单击。将所选告警导出至本地机器的指定路径保存。组网结构了解组网结构，有助于定位因组网问题造成的故障。采集故障信息选择“开始 所有程序 ATIC Debugging Information Collect Tools”。单击“开始”。 选择采集结果的存放路径。 选择采集结果的存放位置后，开始采集故障信息。故障采集完成后，界面如HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20S

10、ecospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0001.html l vsm_tro_0001_fig03图1所示。图1 故障单击“查看详情”，查看详细的信息采集结果。返回“信息采集”界面，单击“打开保存目录”。 将目录中的“log.zip”提交给管理员或技术工程师帮助定位故障。父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&800

11、0%20V100R001%20解决方案%20产品文档%2003(chm).chm:/8000/cfg_ddos/topics/cn_hlr_concept_00165.html ATIC管理中心 故障处理修复MySQL数据库现象描述异常断电后，MySQL数据库异常。以MySQL数据库的安装路径是“D:VSMMySQLbin”为例进行介绍。可能原因异常断电会导致Anti-DDoS采集器或管理中心服务器上的MySQL数据库文件损坏。处理步骤以安装MySQL数据库时的操作系统用户登录操作系统。 如果已登录，请跳过此步。停止管理中心服务器或采集器服务。 若异常断电的为服务器，请在管理服务器上选择“开始

12、 所有程序 ATIC Stop ATIC”。 若异常断电的为采集器，请在采集器所在服务器上选择“开始 所有程序 Anti-DDoS Collector Stop Collector”。单击“开始 运行”。 如HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0007.html l vsm_tro_0007_fig1图1所示，输入cmd，单击“确定

13、”。 图1 “运行”对话框 执行cd /d D:VSMMySQLbin命令，进入“D:VSMMySQL”路径下的“bin”文件夹。如 HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0007.html l vsm_tro_0007_fig2 图2所示。 图2 进入MySQL的bin文件夹 执行mysqlcheck -all-databases

14、-auto-repair -uroot -p1234命令，检查并自动修复数据库文件。其中root为数据库用户名，1234为数据库密码。如HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0007.html l vsm_tro_0007_fig3图3所示。 图3 运行mysqlcheck命令 所有项均为OK，表示修复成功。建议与总结MySQL数据库

15、修复完成后，重新开启管理中心服务或采集器服务。父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0003.html o 在安装或使用管理中心的过程中，数据库故障会导致管理中心不可用，请根据本章定位并排除数据库故障。 数据库故障管理中心服务启动失败现象描述在管理中心服务器上，选择“开始 运行”，输入“services.msc”，单击“确定

16、”。在“服务”中的LEGOService、LEGOMonitor、LEGOWebSrv服务启动失败。在管理中心采集器上，选择“开始 运行”，输入“services.msc”，单击“确定”。在“服务”中的Anti-DDoS Collector ServiceAnti-DDoS Collector Monitor Service服务启动失败。可能原因第三方软件占用相关端口。内存不足。处理步骤请确认是否有其他第三方软件占用了相关端口，具体方法请参见 HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%2

17、0AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0043.html 如何处理端口被占用问题。 管理中心各服务使用到的端口号，具体请参见 安装指南中的 HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/plan/plan_0041.html 端口列表。如果有，关闭第三方软件。 如

18、果没有第三方软件占用端口，则执行步骤 HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0051.html l vsm_tro_0051_step01 2。在任务栏空白处单击右键，选择“任务管理器”，在“性能”页签中查看“物理内存”的“可用数”是否小于最低要求。 集中式部署时内存最低要求为2.5G，分布式部署时内存最低要求为1.5G。如果小于最低

19、要求，请关闭其他占用内存的软件。 如果大于最低要求，则执行步骤HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0051.html l vsm_tro_0051_step023。如果通过以上步骤，问题仍无法解决，请联系技术支持工程师。父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备

20、恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0008.html o 管理中心基础功能故障包括系统、资源、告警等基础功能产生的故障。 基础功能故障网元呈离线状态现象描述在管理中心的“资源 资源管理 网元列表”中，网元的“状态”为。此处网元指自动发现上来的网元。可能原因被管网元的IP地址发生变更。管理中心服务器与被管网元没有连通。处理步骤确保在管理中心上的被管网元的IP地址与其实际IP地址一致。 在“资源 资源管理 网元列表”中，查看管理中心上的

21、“IP地址”与网元的实际IP地址是否一致。 如果不一致，请重新发现修改IP地址后的网元；如果一致，请跳过此步。说明： 查看被管网元本端IP地址的方法是：以Anti-DDoS设备为例说明，通过命令行方式登录到Anti-DDoS设备，执行命令display current-configuration | include firewall ddos log-local-ip，回显信息中的IP地址就是配置的本端IP地址。检查被管网元和管理中心服务器能否连通。 在管理中心服务器上，对被管网元IP地址执行ping命令。如果不能ping通，请检查管理中心服务器与被管网元之间的物理连接是否正常等；如果能够pi

22、ng通，请跳过此步。如果通过以上步骤，问题仍无法解决，请联系技术支持工程师。父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0008.html o 管理中心基础功能故障包括系统、资源、告警等基础功能产生的故障。 基础功能故障查询告警、手动确认告警或清除告警时响应慢现象描述查询告警、手动确认告警或清除告警时管理中心响应慢。可能原因当前数

23、据库中存储的告警条目太多。处理步骤缩短转储周期。 选择“系统 数据维护 告警转储” 在“转储参数”区域，单击，将“转储周期”和“保留最近的数据库记录”的天数修改为一个较小的值。 默认的转储周期是30天，保留数据记录是90天。单击“确定”。 转储后数据库中的告警条目减少，响应速度加快。如果通过以上步骤，问题仍无法解决，请联系技术支持工程师。父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(

24、chm).chm:/vsm_tro/vsm_tro_0008.html o 管理中心基础功能故障包括系统、资源、告警等基础功能产生的故障。 基础功能故障管理中心上Anti-DDoS采集器连接状态异常现象描述在“资源 资源管理 采集器管理”中，查看到Anti-DDoS采集器的“连接状态”为。若“连接状态”由变为，系统会产生“Anti-DDoS采集器离线”的告警。可能原因Anti-DDoS采集器的IP地址配置不正确。未启动Anti-DDoS采集器的Anti-DDoS Collector Service和Anti-DDoS Collector Monitor Service服务。Anti-DDoS采

25、集器的硬盘空间不足。Anti-DDoS采集器上9110、11099或8213的端口被其他程序占用。Anti-DDoS采集器和管理服务器没有连通。处理步骤确保Anti-DDoS采集器的IP地址配置正确。 在“资源 资源管理 采集器管理”中，查看配置的“IP地址”与采集器所在服务器的实际IP地址是否一致。如果不一致，请重新配置使二者保持一致；如果一致，请跳过此步。确保已启动Anti-DDoS采集器的Anti-DDoS Collector Service和Anti-DDoS Collector Monitor Service服务。 登录Anti-DDoS采集器所在的服务器桌面。 选择“开始 运行”，

26、输入“services.msc”，单击“确定”。 在“服务”界面，查看Anti-DDoS Collector Service和Anti-DDoS Collector Monitor Service服务的状态是否为“已启动”。如果状态为“已启动”，请跳过此步；否则，请单击右键选择“启动”。在采集器上，检查Anti-DDoS采集器的硬盘空间是否不足。 如果空间不足，请进行硬盘清理，删除无用的文件，并重新启动系统；否则，请跳过此步。在采集器上，检查占用9110、11099或8213端口的进程是否为“DDoSCollector.exe”，具体请参见 HYPERLINK mk:MSITStore:C:U

27、sers何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0043.html 如何处理端口被占用问题。 如果是，请跳过此步；否则，关闭占用端口的其他程序。检查Anti-DDoS采集器和管理服务器能否连通。 在管理服务器上，对Anti-DDoS采集器IP地址执行ping命令。如果不能ping通，请检查Anti-DDoS采集器和管理服务器之间路由是否可达、物理连接是否正常等；如果能够ping通，请跳过此步。如

28、果通过以上步骤，问题仍无法解决，请联系技术支持工程师。父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0015.html o 请根据本章定位并解决Anti-DDoS业务相关的各种故障。 Anti-DDoS业务故障管理中心上无法查看到防护对象的流量现象描述实际网络中有流量，但登录管理中心后，在“报表 Anti-DDoS”中无法查看到防护

29、对象的流量信息。可能原因管理中心和防护对象关联的Anti-DDoS设备之间通信异常。管理中心和Anti-DDoS采集器之间通信异常。流量未到达Anti-DDoS设备。Anti-DDoS设备的流量入接口未开启流量统计功能。处理步骤查看管理中心和防护对象关联的Anti-DDoS设备之间通信是否正常。 操作方法： 选择“配置 Anti-DDoS 防护对象管理”。 在“防护对象列表”中，单击防护对象对应的。 在“修改防护对象”界面中，单击“网元”页签，查看此防护对象关联的Anti-DDoS设备的“状态”是否为。如果是，请跳过此步；如果不是，请参考 HYPERLINK mk:MSITStore:C:Us

30、ers何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0038.html 网元呈离线状态。查看管理中心和Anti-DDoS采集器之间通信是否正常。 操作方法： 选择“资源 资源管理 采集器管理”，在“采集器管理”查找Anti-DDoS设备关联的采集器，并查看此采集器连接状态是否为。如果是，请跳过此步；如果不是，请参考HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据

31、提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0048.html管理中心上Anti-DDoS采集器连接状态异常。检查流量是否没有到达Anti-DDoS设备。 操作方法： 在Anti-DDoS设备上执行命令display interface，检查是否有流量到达入接口。如果入接口上有流量，请跳过此步；如果入接口没有流量，请排查引流方面的故障。确保Anti-DDoS设备的流量入接口已开启流量统计功能。 操作方法： 进入Anti-DDo

32、S设备的流量入接口视图，执行命令display this，检查入接口下是否配置了anti-ddos flow-statistic enable来开启流量统计功能。如果有，请跳过此步；如果没有，请开启流量统计功能。如果通过以上步骤，问题仍无法解决，请联系技术支持工程师。父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_tro/vsm_tro_0015.html

33、o 请根据本章定位并解决Anti-DDoS业务相关的各种故障。 Anti-DDoS业务故障处理流程当网络遭到攻击，现网中已配置的防御手段失效或效果不佳时，请参照以下流程做应急处理。应急处理流程如HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0001.html l vsm_emerg_maint_0001_fig

34、01图1所示。图1 应急处理流程 父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/cd/cd_0024.html ATIC管理中心 应急维护确认攻击发生系统维护过程中应关注防护对象状态，及时发现攻击。操作步骤登录管理中心。 选择“配置 Anti-DDoS 防护对象管理”。 在“防护对象列表”界面，查看防护对象是否受到攻击。 图1 确认攻击 父主题： HYPERLIN

35、K mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/cd/cd_0024.html ATIC管理中心 应急维护确认清洗情况当确认已经发生攻击后，应查看攻击类型和当前流量清洗情况，以便做出有针对性的应急处理。前提条件如果受攻击的防护对象的“防御状态”显示为“未防御”或“部分防御”时，请先手动开启防御，确保已配置的防御手段是生效的。操作步骤登录管理中心。 选择“报表 Anti-DDoS 异常/攻击分

36、析”。 单击“异常/攻击详情”页签。 选择相应的网元、防护对象等查询条件，查看具体的攻击类型和当前流量清洗情况。 异常攻击日志中的攻击报文数即是已经清洗掉的报文数。说明： 如果流量对比图中的出流量与平时正常业务中观察到的出流量相差不大时，说明清洗效果较好。否则，清洗效果不佳。父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/cd/cd_0024.html ATIC管理

37、中心 应急维护检查白名单当防御失效时请先检查静态白名单，确保攻击源IP地址未被加入静态白名单中。操作步骤登录管理中心。 选择“配置 Anti-DDoS 防护对象管理”。 单击防护对象对应的。 在“白名单列表”区域框中查看是否包含攻击源IP地址。 如果包含攻击源IP地址，则将其删除。如果不包含则结合后面的专用应急方法和通用应急方法进行处理。图1 检查白名父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文

38、档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0004.html o 当防御失效时，先检查白名单，再结合专用应急方法和通用应急方法进行处理。 防御失效时的应急方法专用应急方法专用应急方法适用于针对不同协议类型的攻击。 HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_main

39、t_0006.html TCP防御针对协议类型为TCP的攻击，应急处理手段主要包括配置SYN Flood防御、SYN-ACK Flood防御、FIN/RST Flood防御，开启首包检查及配置真实源IP限速。 HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0007.html UDP防御针对协议类型为UDP的攻击

40、，应急处理手段主要包括开启首包检查防御、配置UDP Flood关联TCP类服务防御及配置UDP防御。 HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0009.html DNS防御针对协议类型为DNS的攻击，应急处理手段主要包括开启首包检查防御、配置DNS Request Flood防御、配置域名限速及配置DNS

41、源IP请求限速。 HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0011.html HTTP防御针对协议类型为HTTP的攻击，应急处理手段主要包括开启首包检查防御、配置HTTP源认证防御、配置HTTP URI行为监控及配置HOST过滤。 HYPERLINK mk:MSITStore:C:Users何昌龙Desk

42、top万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0010.html SIP防御针对协议类型为SIP的攻击，应急处理手段主要是配置SIP防御和开启首包检查防御。 HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%2

43、0产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0012.html HTTPS防御针对协议类型为HTTPS的攻击，应急处理手段主要是配置HTTPS防御和开启首包检查防御。 父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0004.html o 当

44、防御失效时，先检查白名单，再结合专用应急方法和通用应急方法进行处理。 防御失效时的应急方法TCP防御针对协议类型为TCP的攻击，应急处理手段主要包括配置SYN Flood防御、SYN-ACK Flood防御、FIN/RST Flood防御，开启首包检查及配置真实源IP限速。操作步骤登录管理中心，配置SYN Flood防御、SYN-ACK Flood防御、FIN/RST Flood防御。 选择“配置 Anti-DDoS 防护对象管理”。 单击防护对象对应的。 在“服务配置”页签中，单击相应服务对应“操作”列的。 单击“TCP防御”页签，配置SYN Flood防御、SYN-ACK Flood防御、

45、FIN/RST Flood防御。 建议通过基线学习配置包速率阈值。单击“确定”。 当这些防御手段的防御效果不理想时，说明攻击报文可能是由真实源发出，请执行HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0006.html l vsm_emerg_maint_0006_step012。在清洗设备上开启首包检查防御。

46、 system-viewdevice anti-ddos first-packet-check tcpdevice anti-ddos first-packet-check syn如果开启了首包检查防御，防御效果仍不理想，请执行HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0006.html l vsm_eme

47、rg_maint_0006_step023。在管理中心上配置真实源IP限速。 真实源IP发起的TCP报文中，除ACK报文外全部报文和ACK报文的比值超过“TCP-Ratio比例阈值”时，启动限速。将除ACK报文外全部报文速率限制在“限速阈值”内。将管理中心上的配置部署到网元侧，使之生效。 选择“配置 Anti-DDoS 防护对象管理”。 选中防护对象前的复选框，单击。 父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解

48、决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0005.html o 专用应急方法适用于针对不同协议类型的攻击。 专用应急方法UDP防御针对协议类型为UDP的攻击，应急处理手段主要包括开启首包检查防御、配置UDP Flood关联TCP类服务防御及配置UDP防御。操作步骤在清洗设备上开启首包检查防御。 device system-viewdevice anti-ddos first-packet-check udp如果开启了首包检查防御，防御效果仍不理想，请执行HYPERLINK mk:MSITStore:C:Users何昌龙

49、Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0007.html l vsm_emerg_maint_0007_step012。如果正常业务中UDP流量与TCP流量、HTTP流量、HTTPS流量有关联时，配置UDP Flood关联TCP类服务防御。 创建待关联的TCP类服务。 在管理中心中，选择“配置 Anti-DDoS 防护对象管理”。单击防护对象对应的在“服务配置”页签中

50、，单击创建待关联的TCP类服务。配置UDP Flood关联TCP类服务防范。 在“服务配置”页签中，单击相应服务对应的。单击“UDP防御”页签。 配置UDP Flood关联TCP类服务防范。单击“确定”。当正常业务中UDP流量与TCP流量、HTTP流量、HTTPS流量没有关联，无法使用以上UDP Flood关联TCP类服务防御或者防御效果不佳时，则请先取消UDP Flood关联TCP类服务防范，按照以下方式配置UDP防御。 当设备接收到的UDP报文流速超过“带宽阈值”时，设备向管理中心上报异常事件，并启动载荷检查和指纹学习。载荷检查指如果UDP报文数据段内容完全一样，则会被认为是攻击而丢弃报文

51、。指纹学习是通过指纹学习，拦截匹配的报文.将管理中心上的配置部署到网元侧，使之生效。 选择“配置 Anti-DDoS 防护对象管理”。 选中防护对象前的复选框，单击。 父主题： HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0005.html o 专用应急方法适用于针对不同协议类型的攻击。 专用应急方法DNS防

52、御针对协议类型为DNS的攻击，应急处理手段主要包括开启首包检查防御、配置DNS Request Flood防御、配置域名限速及配置DNS源IP请求限速。操作步骤在清洗设备上开启首包检查防御。 system-viewdevice anti-ddos first-packet-check dns如果开启了首包检查防御，防御效果仍不理想，请执行HYPERLINK mk:MSITStore:C:Users何昌龙Desktop万国数据提交文档网络设备恢复手册HUAWEI%20Secospace%20AntiDDoS1000&8000%20V100R001%20解决方案%20产品文档%2003(chm).chm:/vsm_emerg_maint/vsm_emerg_maint_0009.html l vsm_emerg_maint_0009_step012。登录管理中心，配置DNS