大规模ddos攻击,追踪ddos流量命令

基本目标

时发现异常的流量攻击事件，并且自动上报清洗平台，完成流量清洗

攻击检测

Syn flood

基于检测对象，对pps做汇聚统计，当超过阈值时触发告警,告警内容包括：攻击类型、起始时间、流量大小pps，目标IP，目标端口

Ack flood

基于检测对象，对pps或bps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps，bps，目标IP，目标端口

Udp flood

基于检测对象，对pps或bps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps，bps，目标IP，目标端口

ICMP flood

基于检测对象，对pps或bps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps，bps，目标IP，目标端口

Http get flood

基于检测对象，对pps或bps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps、bps，目标IP，目标端口

Http post flood

基于检测对象，对pps或bps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps，目标IP，目标端口

Https

基于检测对象，对就445端口的psh+ack报文pps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps，目标IP，目标端口

DNS Flood

基于检测对象，对bps或pps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps、bps，目标IP，目标端口

NTP 放大攻击

基于检测对象，对源端口123 的报文pps汇聚统计，超过阈值告警触发，告警内容包括：攻击类型、起始时间、流量大小pps、bps，目标IP，目标端口

HTTP慢速攻击

基于检测对象，对http访问异常的报文数据进行统计，发现异常产生告警。

连接攻击

基于检测对象，当并发和累计连接数超出阈值时产生告警

空路由

基于防护对象，当流量超过设备阈值，产生空路由告警，并通知第三方设备完成黑洞路由流量清洗的功能

智能检测

自动检测到payload异常，并能够形成防护规则

 

关于检测对象的定义：

对象可以是一个IP、或一组IP、或网段也可以是离散的IP，检测策略应用到防护对象

 

统计周期，包括5分钟，最近3小时，最近24小时，1周，1月，一年

 

流量基线学习

基于防护对象流量的学习，包括bps，pps，学习

基于防护对象tcp协议各种标记位的学习，包括syn，ack，rst，fin， psh+ack，单位pps

基于防护对象各种协议流量的学习，包括tcp，udp，icmp，other ，单位bps，pps

基于防护对象应用层防护流量的学习，包括http get, dns query, 单位qps，pps

基于防护对象包长比例的学习，0-64，,74-100,100-500,500-1000,1000-15000

流量自学习能够自动生成防护对象的策略参数上传到管理平台，并应用防护设备

 

HTTP协议分析

基于防护对象统计周期内的get，post，put各种方法的统计

基于防护对象在统计周期内response的各种返回的code统计，包括1xx,2xx,3xx,4xx,5xx,other

基于防护对象TOPn URL访问统计分析

基于防护对象TOPN 源IP流量访问统计，包括bps，pps，total

 

DNS协议分析

基于防护对象在统计周期内dns query统计，单位bps/pps

基于防护对象在攻击周期内容dns reponse报文类型统计

 

连接分析

基于防护对象在统计周期内的并发连接数和新建连接数的统计分析

基于防护对象长连接的流量分析，显示连接的5元组信息以及bps，pps流量数据，并topn排序

 

源IP流量分析

基于防护对象源IP流量在统计周期内的topn分析

 

策略管理

2级防护策略，基于检测对象和全局对象进行策略管理

CLI接口对检测策略进行管理，直接应用到防护引擎

restful接口，能够接受集中管理平台的管理

数据上传

检测器定期输出流量和日志数据上传给管理平台，用于生成报表和实时状态监控

联动方式

将判断是攻击的IP相关信息通告给管理平台，通讯方式包括

Http post内部自定义通讯协议攻击告警发生后，检测设备能够将告警信息同步给防护设备完成流量牵引，或者是通知第三方设备进行黑洞空路由