FAQ-S9300交换机如何通过ip source-trail功能迅速找到攻击源

发布时间:  2012-07-17 浏览次数:  95 下载次数:  3
问题描述
A:
S9300交换机是否可以通过快捷的流量统计功能,迅速找到攻击源IP地址吗?
告警信息
处理过程
Q:
S9300交换机提供了ip source-trail命令,此命令功能的作用是对配置的地址打开源IP追踪功能,以此地址为目的地址的流量统计信息会被记录下来,并且系统最多支持32个地址的源追踪,配置示例如下,假如发现S9300下挂IP为222.223.127.174的流量比较异常,我们就可以在S9300交换机上配置:
[S9300]ip source-trail ip-address  222.223.127.174
然后我们再通过基于源IP的流量统计功能:
[S9300]disp ip source-trail 222.223.127.174  
 Destination Address: 222.223.127.174 
   SrcAddr         SrcIF      Bytes      Pkts       Bits/s     Pkts/s 
   ----------------------------------------------------------------------
   59.52.230.229   GE3/0/23   85.971M    60.234K    1.356M     121       
   123.165.60.190  GE3/0/23   15.462M    10.852K    203.984K   17        
   120.82.49.76    GE3/0/23   14.785M    10.577K    204.601K   18        
   59.55.58.215    GE3/0/23   3.432M     6.557K     118.164K   28        
   118.73.22.19    GE3/0/23   2.541M     4.600K     34.257K    7         
   124.116.166.35  GE3/0/23   244.030K   4.438K     3.101K     7         
   61.185.250.58   GE3/0/23   2.597M     4.253K     34.000K    6         
   114.104.47.28   GE3/0/23   4.061M     4.196K     69.617K    8         
通过上面的流量统计就可以很快捷的找到是哪个源IP地址的流量很大,就可以迅速的找到攻击源IP后,可以在S9300交换机上配置访问控制列表来禁止此源IP到222.223.127.174的攻击流。
根因
建议与总结
此功能方便我们应对S9300下挂用户遭受DDOS攻击的场景,希望通过此办法提高大家的故障处理能力。

END