在前面的技術貼中,華安重點介紹了Anti-DDoS解決方案引流回注的實現。小伙伴們看完后紛紛表現出很大的興趣,但配置完成就能確保引流回注的功能可用了嗎?本文將通過對引流和回注功能的驗證,來排查路由器、檢測設備、清洗設備和ATIC的各項配置是否正確。
0x01 前期準備
組網示意圖
準備環境
1. 一個外網PC,在upper-layer network上。
2. 一個內網Web服務器,在protected network中。
3. 通過外網PC向Web服務器發送SYN報文。
0x02 測試步驟
1. 通過PC可以成功訪問Web服務器。
2. 將Web服務器IP地址加入防護對象,并且關聯檢測和清洗設備。
a. 選擇“防御 > 策略配置 > 防護對象”。在“防護對象列表”界面,單擊“創建”,配置防護對象的基本信息。
b. 在“創建防護對象”界面,單擊“IP地址”頁簽。單擊“創建”,配置自定義防護對象的IP地址。
c. 單擊“設備”頁簽,為防護對象關聯AntiDDoS設備。選中設備前的復選框,單擊“確定”。
d. 單擊“確定”,在ATIC管理中心上完成創建防護對象;單擊“部署”,將防護對象配置直接部署到AntiDDoS設備。
3. 修改檢測設備的SYN Flood防御閾值為1,修改清洗設備的SYN Flood防御閾值為1。
a. 選擇“防御 > 策略配置 > 防護對象”。單擊防護對象對應的按鈕,將引流模式和防御模式修改為“自動執行”。
b. 在“防御策略”頁簽中,單擊“操作”列的設置按鈕。選擇“TCP”頁簽,修改檢測設備的SYN Flood防御閾值為1,修改清洗設備的SYN Flood防御閾值為1。
c. 如果部署狀態變化為“部分部署”,則需要重新部署。
4. 為了避免測試不產生任何效果,需要選擇“告警 >告警管理 > 告警分級規則”。單擊“修改”,允許小流量觸發告警:缺省和修改的過程。
注意:測試結束后需要改回來,避免產生過多的告警。
5. 通過外網PC持續訪問Web服務器(F5)。
0x03 期望的測試結果
1. ATIC上發現防護對象異常狀態,點擊進去后可以看到檢測設備異常。
2. 點擊F5持續發送SYN報文。
3. 選擇“報表 > 專項報表 > 流量分析”,選擇“流量對比”頁簽。從下拉列表中選擇檢測設備或清洗設備,分別查看相對應的報表。檢測設備和清洗設備的報表中都可以看到流量。
0x04 測試原理
- 檢測設備配置的SYN Flood防御閾值為1,當開始發送SYN報文后,流量超過檢測設備的閾值,觸發檢測設備發送異常告警給ATIC。
- ATIC生成一條到內網IP地址的靜態路由,通過BGP發送給對端的路由器,路由器就會將發送向內網的流量引向AntiDDoS設備。
- AntiDDoS接收到內網的流量后,再通過接口的策略路由,把流量回注給路由器,路由器通過策略路由將報文轉發至交換機,最后到達Web服務器。
- 反向的流量則不經過AntiDDoS,而是直接從路由器發送出去。
0x05 故障排查
1. 當ATIC上沒有發現異常時,故障排查可分為:檢查設備自身、檢查中間鏈路上是否有設備攔截了日志以及檢查ATIC服務器是否正常三部分。
a. 檢測設備自身檢查。流量是否經過了檢測設備,可以通過查詢報表看是否有對應的流量信息。
如果有流量,需要看流量是否超過配置的閾值(pps)。
如果沒有流量,需要檢查設備的配置:
設備的檢測口是否配置了檢測功能,正確配置了檢測功能如下圖所示。
查看檢測設備上配置的與ATIC通訊的IP是否正確。
設備與ATIC通信的接口需要配置。
b. 檢查中間鏈路上是否有設備攔截了日志。設備與ATIC之間的防火墻需要開啟如下端口:
源設備 源端口 目的設備 目的端口 協議 端口說明 Device 1024-65535 ATIC 162
SNMP
TRAP(UDP)
SNMPtrap端口 Device 1024-65535 ATIC采集器 9110 UDP 接收流量日志的端口 Device1024-65535 ATIC采集器 9112 UDP 接收抓包日志的端口 Device 1024-65535 ATIC 514UDP
Syslog日志接收端口
ATIC 1024-65535 Device 161 SNMP 設備SNMP管理端口 ATIC 1024-65535 Device23 Telent 設備Telent管理端口 ATIC 1024-65535 Device 22 SSH 設備SSH管理端口ATIC 1024-65535 Device 21 FTP 設備FTP管理端口
c. ATIC是否工作正常。
- 查看采集器和設備是否正常。
- 嘗試同步一下設備的配置,不影響業務。
說明:如果采集器處于離線狀態,需要登錄到ATIC的服務器上,查看對應的服務是否都已經啟動。
2. ATIC上有異常,但沒有發生引流。
a. 檢查如下引流的條件是否滿足。
b. 查看引流任務是否生成。
c. 查看引流任務是否下發到設備。
d. 檢查路由器和AntiDDoS的BGP設置。
3. 發生了引流,但是清洗設備看不到流量信息。
a. 接口是否開啟流量統計和清洗功能。
b. 檢查清洗設備的配置,發送日志的IP地址和ATIC的IP地址是否正確。
c. 檢查中間鏈路上是否有設備攔截了日志。
請參考上文:“中間鏈路上是否有設備攔截了日志”部分。
d. ATIC是否工作正常。
請參考上文:“ATIC是否工作正常”部分。
