- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath AFC2000异常流量清洗系统
用户FAQ
Copyright © 2023新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
2 H3C SecPath AFC 产品支持的通道数目是多少?
H3C SecPath AFC 产品支持的防护主机数目是多少?
40G 设备,设置报文捕捉数目为100,抓到了400条报文将近100KB,报文前100条正常,后面300条是异常broadcast报文。
数据分析--屏蔽分析,查询行中第一个显示为“连接”,但是实践操作中使用远程地址则无法过滤查询结果。
系统管理->日志管理->直接点击“下载”按钮获取的日志只有部分,不是所有的日志
状态监控>防护范围>导入文件,对导入的文件格式不作检验,格式不正确也可提交成功,但是会导致之前配置的防护范围消失。
产品过滤模式,在设置策略正确时无法访问墙下主机或者访问较慢?
UDP端口保护集中没有设置报文频率限制参数但是屏蔽列表有此屏蔽原因?
如果防护范围如果添加一个C段,每台都有流量,那么主机状态中显示的是一个段,还是254台单独的设备
H3C SecPath AFC用户FAQ
本文档介绍H3C SecPath AFC的用户常见问题及解答。
因为linux主机在启动过程中发送一个Gratuitous ARP,叫免费ARP。
如下图数据包,目的地址和自己一样,在DDOS接收到此数据包后,学习到了主机的MAC地址,所以导致不通。
· 删除主机
第一步:进入主机设置视图,【状态监控】 → 【主机状态】→点击需要删除的“IP地址” → 【主机设置】;
第二步:填写需要删除的IP或IP范围,“主机地址”填写需要删除的IP或者IP范围(地址格式如下,请根据实际情况修改);
地址范围格式:192.168.1.1-192.168.1.255
第三步:删除操作,勾选“有效”→ 【提交】。
附注:“防护范围”功能可控制主机在主机列表中的显示,删除防护范围中对应的IP范围,主机列表中的IP地址也会相继删除。
可以设置多个管理IP地址,但是不能设置多个网关,DDOS设备无法进行路由策略选路,设置多个网关会导致设备无法管理。
(1) 旁路版本中某IP如果在主机列表被删除,此时日志仍然后记录此IP,在24小时内如果此IP没有数据,日志将不在记录;
(2) 某主机IP存在双向流量时才会加入主机列表,但是只要有单向流量,日志就会记录。
(1) 抗拒绝设备在统计流量的时候会统计帧间隙的大小,其他网络设备可能不会统计(每个数据包互联网帧间隙共20byte);
(2) 抗拒绝设备流量图是统计五分钟的最大值,其他设备可能统计的是平均值。
附注:SNMP获取方式原理一般是通过当前采集到的接口统计减去上次采集的接口统计除以采集时间间隔的方式计算流量大小(此方式对于脉冲攻击误差很大)
· H3C SecPath AFC 2023:支持2条(千兆链路通道)
· H3C SecPath AFC 2040:支持4条(千兆链路通道)
· H3C SecPath AFC 2100:支持1条(万兆链路通道)
约103万。
· 事件原因
捕捉数目设置100,则每个单元捕捉100个报文。若有2个单元则捕捉200个报文,若有4个单元捕捉400个报文。
· 解决方法
无,设计如此。
· 事件原因
使用远程地址作为查询条件,远程IP前要加"-"。
· 解决方法
使用本地地址查询。直接输入本地IP即可。
使用远程地址查询,远程IP前要加"-"。
· 事件原因
不设定条件直接下载默认只下载首页500条记录。
· 解决方法
设置日志查询条件,即可下载所有检索到的日志。
· 事件原因
系统不检验导入文件内容。
· 解决方法
先导出主机防护范围,然后按照模板修改防护范围,之后再把防护范围导入系统。
· 事件原因
该主机TCP端口集0-65535端口全部做了防护,在访问外网的时候回的数据包被拦截。
· 解决方法
删除防护设置,只添加业务端口的防护。
· 事件原因
固定源攻击,而且总攻击报文触发了全局报文频率紧急状态的1/8;
· 解决方法
【防御配置】→【全局参数】→调大【报文频率紧急状态】阀值。
H3C SecPath AFC 产品过滤情况下,在客户端与服务器建立连接之前会先进行代理,代理的流量会被统计到过滤后流量中。
· 输出过滤后流量比输出流量大
H3C SecPath AFC 产品跟客户端代理建立三次握手时,设备发的“syn+ack”报文会统计到“输出过滤后”里。
· 输入过滤后流量比输入流量大
H3C SecPath AFC 产品跟服务器代理建立三次握手时,设备发的“syn”和“ack”报文会统计到输入方向“过滤后”流量内。
· 事件原因
(1) SMTP服务器不可用,更换SMTP服务器;
(2) 用户名密码填写错误;
(3) 上层做了限制,AFC与DNS服务器地址、邮件服务器地址不通;
(4) AFC上没有设置DNS;
DNS地址配置方法:
【系统管理】→【设备管理】→填写“地址(例如:114.114.114.114)”→【设置DNS】
(5) 没有触发防护状态或者“通知触发流量”阀值(部分版本)
DDOS上此功能模块发送邮件的条件是:触发防护状态并且达到“通知触发流量”阈值(部分版本),而且如果触发防护状态时没有达到“通知触发流量”阈值,后流量再达到阈值也不会发送邮件。
· 事件原因
全局参数中设置了“忽略主机流量限制”参数(默认10Mbps)。
· 解决方法
【防御配置】→【全局参数】→将“忽略主机流量限制”参数调大。
(1) 国外IP地址段变更,AFC内国外IP地址库没有更新;
(2) 国外IP地址在访问墙下主机时验证通过(进入了信任列表),会增加该IP的权重值,当权重值较高时,设备会放行该IP,所以出现有国外IP的连接。
· 事件原因
设备和本地同时抓包,发现在设备转发数据的时候修改了MAC地址导致(临时更换服务,设备缓存了原始的mac地址导致)。
· 解决方法
方法1:在主机设置里添加修改后的MAC地址;
方法2:将故障主机从主机列表删除,重新添加。
(1) H3C Secpath AFC产品主机设置了流量策略(流控),将此参数阀值调大可解决。
(2) 测速的数据是下载一些固定内容的数据,触发了全局参数“简单过滤流量限制”,将此参数阀值调大可解决。
此类问题在主机忽略状态下都能正常访问,但是过滤模式下就无法访问。
· HTTP头部识别错误
TCP端口集协议选择“HTTP”,勾选“接受协议”。有些数据包过大而分片,分片后可能单个数据包中HTTP头部信息不全,墙会直接RST此类数据导致无法访问网站。取消协议选择并去掉接受协议勾选。
· 域名检测错误
前置条件:TCP端口集设置了域名审计,全局DomainAudit.AuditMode设置参数10;
故障原因:数据包被分片,分片后host部分被分成两个或者多个数据包,会导致AFC设备域名检测时,检测结果与域名列表添加的域名不符,导致拦截,使得客户端无法打开网站;
解决办法:取消域名审计,或者将分片后的域名添加到域名白名单;
故障示例:如图,host部分xywl.9cgames.com被分成xywl.9cgames.co和m两部分。
· 数据包丢失检测不通过
数据包被分片后在墙上只能抓到一部分数据包,导致get数据不完整。设备验证不通过,直接丢弃。此种情况可能是客户端存在其他网络设备MSS值比较小,一部分数据没有传输过来。在不动客户端的情况下,目前只能做放行或者忽略解决。
附注:有些用户设备上有安全狗,关闭了mtu的路径发现。mtu路径发现关闭后会造成一方不参与MSS协商,采用默认MSS进行应答。默认以536 type进行切片。MSS 是TCP选项中最经常出现,也是最早出现的选项。MSS选项占4 byte。MSS是每一个TCP报文段中数据字段的最大长度,注意:只是数据部分的字段,不包括TCP的头部。TCP在三次握手中,每一方都会通告其期望收到的MSS(MSS只出现在SYN数据包中),如果一方不接受另一方的MSS值则定为默认值536byte。
(1) 此功能模块必须是TCP协议,而且模式匹配内容不能为空;
(2) 统计ID大于16才会屏蔽;
(3) 访问频率和连接限制这两个参数均是弹性参数值,并不是设置1,大于1个连接就会屏蔽,在正常流量状态下,频率填写为1,触发匹配值在45-60之间,频率填写为10,匹配值在55-70 之间。
开启web插件之后,任何http请求包的URL长度,超过1000字节设备会拦截此IP的访问。
故障原因:
· 域名列表中域名添加错误;
· 域名对应的IP不在主机列表中;
· 域名管理中添加了“+.cn”,“+.com”,“+www”,“+.”等;
· 检查抗拒绝设备配置错误。
配置检查方法:
(1) 域名使用的端口在主机对应TCP端口集中未开启域名审计;
(2) 规则集、黑白名单做了放行;
(3) 全局DomainAudit.AuditMode参数设置是否正确;
(4) DomainAudit.AuditMode 通过设置不同的值用来控制域名审计的行为。
参数值含义说明:
参数0:默认参数,不执行域名审计,不检查域名列表,允许IP地址和域名访问。
参数1和9:参数1允许通过IP地址直接访问网站,但禁止域名点数超过10的长域名,不检查域名管理中的域名列表,不在域名列表或加入黑名单的域名也可以访问。若不想通过IP地址直接访问网站,请用设置变量值 9 ,其它不变。
参数2和10:参数2允许通过IP地址直接访问网站,但禁止域名点数超过10的长域名,检查域名管理中的域名列表,只允许域名列表里加入白名单的域名访问,不在列表里或加入黑名单的域名不能访问。若不想通过IP地址直接访问网站,请用设置变量值 10,其它不变。
参数3和11:参数3允许通过IP地址直接访问网站,但禁止域名点数超过10的长域名,检查域名管理中的域名列表,允许域名列表里加入白名单的域名访问,且可以自动添加新识别的域名,最多添加65536个,但加入黑名单的域名不可访问。若不想通过IP地址直接访问网站,请用设置变量值11,其它不变。
因为设备“ICMP连接空闲超时”参数,在此参数时间内存在已经正常ping的数据包(有正常应答),触发了ICMP参数还是可以继续ping通。
报文超出全局参数中UDP阈值的50倍时也会出现此屏蔽原因。
描述以上不能涵盖的与产品相关的常见问题以及解答。
(1) 点击“状态监控” → “屏蔽记录”,在“选择连接”输入设备下主机,如192.168.0.1 或者192.168.0.1/24,选择之后,点击“重置”即可释放。
(2) 释放远程单个IP,可以在“选择连接”输入IP,如10.10.10.1,选择之后点击“重置”按钮;
(3) 释放所有被屏蔽的IP,可以在“全局参数” → “屏蔽持续时间”将数值设置为0即可释放掉。
启用域名跳转,首先需在“TCP端口保护”里开启域名审计,并且此服务器IP绑定的域名在域名管理的黑名单里,当客户端访问此域名就会跳转到指定的网站上面。
一般在主机状态下,某个主机左侧显示的[SYN]即是当时受到的攻击。图中<TCP>即触发了TCP插件(CC攻击防御)。具体攻击信息可通过“服务支持” → “报文捕捉”抓取实时数据包进行查看。
AFC2040后面板有机箱电源开关和电源模块电源开关,其作为具体如下:
· 机箱电源开关:关闭此电源开关后,系统会先软件关闭设备,然后再从物理上断开电源。
· 电源模块电源开关:直接从物理上断开电源开关。
推荐使用机箱电源开关进行设备断电。
不可以。电口一般用作管理口或者心跳口。光口用作业务口。
如果用电口作为业务口,可能会引发问题。比如HA主备部署下,主设备一端链路down后,另一端不down的情况,导致业务来回路径不一致而发生业务中断。
E6503之前的版本:默认是启用电口。当启用光口的时候,需要在光口插上光模块和线后,重启设备,才会启用光口。
E6503版本:默认是启用电口。当启用光口的时候,需要在光口插上光模块和线后,使用命令切换fiber,会立刻启用光口。无需重启。
命令举例如下:
[email protected]# > config interface mode GE3/3 fiber
switched interface gbe12 to fiber mode.
“防护范围”内的主机只要产生流量后,该主机就会自动添加到“主机状态”页面,或者直接对防护范围的ip在“主机状态”页面手动添加主机ip。主机状态中ip数量超过100个,就会按防护范围的地址段归类,比如防护范围加的地址段是192.168.1.1-192.168.1.254/24,那么192.168.1.100、192.168.1.200都归类到192.168.1.1/24中,如果防护范围添加的地址段是192.168.1.1-192.168.1.100/24和192.168.1.101-192.168.1.254/24,那么192.168.1.100归类到192.168.1.1/24,192.168.1.200归类到192.168.1.101/24中。主机状态中少于100个ip地址会单独显示每个ip。
不会,当流量超过平均流量x倍基线因子,主机会进入[Bline]防护,此状态不会过滤报文,只是会提示主机进入此种防护,提醒管理人员可能当前主机流量不正常。
检测设备是用来检测攻击的,并没有防护的功能,可以通过镜像或者交换机的netflow等流量统计配件将实际业务流送到检测设备业务口,检测设备接收到业务流后会分析流量和连接信息分析是否有攻击。
清洗设备是用来防护攻击的,可以直接将业务流经过设备进行防护和清洗。或者清洗设备和检测设备联动,当检测设备检测到有攻击后会通知清洗设备将业务流通过BGP/ospf动态路由将流量牵引到清理设备进行清洗,没有攻击的时候业务流走原来网络。
支持
