DDOS设备http防护时引流业务异常问题

发布时间:  2015-11-24 浏览次数:  199 下载次数:  0
问题描述
某企业部署华为DDOS系统,采用旁路部署模式,当互联网上流量访问内网时超过阈值会启动引流清洗。该企业新增加了一个金融业务,部署上线后,由于之前采用基线学习,学习到的阈值很低。企业在做活动期间用户大量访问,触发DDOS设备引流,引流后发现业务出现异常。
告警信息
引流后业务出现异常。在ATIC设备上发现有的http flood告警。
处理过程

发现业务出现异常时,ATIC也正在引流,怀疑是引流造成,删除引流任务,业务恢复正常。

根因

分析发现该业务不是标准的http业务,但是使用了TCP 80端口,华为DDoS设备的http防御是针对于web类的应用。触发http防护后,安装此业务客户端不能响应DDoS设备的http源探测,ATIC上默认配置的源探测是302重定向方式,客户端因为并非是http业务,只是使用80端口,所以无法响应探测请求。

解决方案

在变更时间窗口,将此业务服务器单独创建一个防护对象,使用默认防护对象模板中参数,但要关闭http防御功能,避免源认证无法通过,影响用户业务。

 

建议与总结

建议用户不要使用通用端口做特殊业务使用。

如发现网络中存在针对通用端口做特殊业务应用场景,防御策略建议使用独立的防护对象,开启协议层的tcp防御/udp防御策略,关闭对应端口应用层防御策略(http防御、dns防御、https防御、sip防御);也可以从业务软件角度来调整提供服务的端口,使用非通用端口,规避类问题再次发生。

END