在前面的技术贴中 , 华安重点介绍了Anti-DDoS解决方案引流回注的实现 。小伙伴们看完后纷纷表现出很大的兴趣 , 但配置完成就能确保引流回注的功能可用了吗?本文将通过对引流和回注功能的验证 , 来排查路由器、检测设备、清洗设备和ATIC的各项配置是否正确 。
0x01 前期准备
组网示意图
文章插图
准备环境
1. 一个外网PC , 在upper-layer network上 。
2. 一个内网Web服务器 , 在protected network中 。
3. 通过外网PC向Web服务器发送SYN报文 。
0x02 测试步骤
1. 通过PC可以成功访问Web服务器 。
2. 将Web服务器IP地址加入防护对象 , 并且关联检测和清洗设备 。
a. 选择“防御 > 策略配置 > 防护对象” 。在“防护对象列表”界面 , 单击“创建” , 配置防护对象的基本信息 。
文章插图
b. 在“创建防护对象”界面 , 单击“IP地址”页签 。单击“创建” , 配置自定义防护对象的IP地址 。
文章插图
c. 单击“设备”页签 , 为防护对象关联AntiDDoS设备 。选中设备前的复选框 , 单击“确定” 。
文章插图
d. 单击“确定” , 在ATIC管理中心上完成创建防护对象;单击“部署” , 将防护对象配置直接部署到AntiDDoS设备 。
文章插图
【华安解密之DDoS攻防 21 引流回注的成败之谜】3. 修改检测设备的SYN Flood防御阈值为1 , 修改清洗设备的SYN Flood防御阈值为1 。
a. 选择“防御 > 策略配置 > 防护对象” 。单击防护对象对应的按钮 , 将引流模式和防御模式修改为“自动执行” 。
文章插图
b. 在“防御策略”页签中 , 单击“操作”列的设置按钮 。选择“TCP”页签 , 修改检测设备的SYN Flood防御阈值为1 , 修改清洗设备的SYN Flood防御阈值为1 。
文章插图
c. 如果部署状态变化为“部分部署” , 则需要重新部署 。
4. 为了避免测试不产生任何效果 , 需要选择“告警 >告警管理 > 告警分级规则” 。单击“修改” , 允许小流量触发告警:缺省和修改的过程 。
注意:测试结束后需要改回来 , 避免产生过多的告警 。
文章插图
5. 通过外网PC持续访问Web服务器(F5) 。
0x03 期望的测试结果
1. ATIC上发现防护对象异常状态 , 点击进去后可以看到检测设备异常 。
文章插图
文章插图
2. 点击F5持续发送SYN报文 。
3. 选择“报表 > 专项报表 > 流量分析” , 选择“流量对比”页签 。从下拉列表中选择检测设备或清洗设备 , 分别查看相对应的报表 。检测设备和清洗设备的报表中都可以看到流量 。
0x04 测试原理
- 检测设备配置的SYN Flood防御阈值为1 , 当开始发送SYN报文后 , 流量超过检测设备的阈值 , 触发检测设备发送异常告警给ATIC 。
- ATIC生成一条到内网IP地址的静态路由 , 通过BGP发送给对端的路由器 , 路由器就会将发送向内网的流量引向AntiDDoS设备 。
- AntiDDoS接收到内网的流量后 , 再通过接口的策略路由 , 把流量回注给路由器 , 路由器通过策略路由将报文转发至交换机 , 最后到达Web服务器 。
- 机器学习:有监督和无监督之间有什么区别
- 茶之美在于艺,茶道讲究自然之美简约之美虚静之美
- 茶百科之顶谷大方茶,顶谷大方茶品质特点先容
- 开网店之前是不是要有公司? 开什么店不受网店影响
- 怎么才能成为淘宝商家 淘宝开店之后怎么操作
- 紫水晶 --水晶之王
- 洱茶制作工艺之揉捻,冰岛茶的揉捻技术
- 茅台真假鉴定之背标篇
- 茶馆系列之四,茶馆彭镇老茶馆
- 茶馆系列之二,全国首期星级茶馆陕西地区评审工作于7月24日至26日展开
