ATIC上显示异常告警但攻击流量低于阈值问题

发布时间:  2015-11-23 浏览次数:  150 下载次数:  0
问题描述

某企业为了保护内网服务器安全,预防互联网上的DDOS攻击流量,部署了华为的DDOS系统,包括DDOS8030和ATIC设备。采用旁路部署方式,只检查互联网到内网的流量,对于内网到互联网的流量不检测。一旦检测到互联网的流量异常,通过BGP引流,自动进行引流清洗。发现一个比较奇怪的现象,如下2个防护对象,攻击流量值显示的值都没有阈值大,但是都是显示为异常的。

   

告警信息

 

处理过程

在DDOS8030和ATIC上并未对引流和回注做特殊配置,时间上采用的是缺省配置,进一步分析DDOS设备和ATIC的缺省配置:

流量超过防护对象中配置的阈值,AntiDDoS设备上报异常;

流量恢复正常,低于防护策略的阈值之后,持续一段时间(期间流量一直低于阈值)后,异常消除。

 

但是,AntiDDoS设备上的这个持续时间(10分钟),和ATIC上的默认时间(5分钟)不一致。这样就会有一种情况发生。

ATIC上的异常标记清除了,但是AntiDDoS设备上的异常标记还在,这个时候在ATIC界面看到的这个攻击流量值就会显示异常。

 

根因
DDOS异常流量清洗系统包括DDOS设备和ATIC网管系统,这两个系统的一些参数如果不一致可能会出现异常问题。
解决方案

当前有个规避方式:

调整AntiDDoS设备的异常结束抖动时间 (5分钟)和 ATIC的时间(5分钟)保持一致。

配置命令行:

[AntiDDoS]anti-ddos  defend-time start-delay 1 end-delay 300

建议与总结
DDOS异常流量清洗系统包括DDOS设备和ATIC网管系统,这两个系统的一些参数如果不一致可能会出现异常问题。

END