本文介紹互連網邊界業務的整體流量存在超出購買的防護頻寬、以及發生突增、突降或其他異常情況時,如何快速定位到具體的業務資產,方便您對業務資產進行精細化管理。
Cloud Firewall互連網邊界如何計算流量
Cloud Firewall處理互連網邊界流量時,在公網入方向和出方向的總流量峰值頻寬中取較大值。公網入方向和出方向的總流量頻寬計算公式如下:
入方向流量頻寬=公網暴露請求流量頻寬+公網暴露響應流量頻寬
出方向流量頻寬=主動外聯請求流量頻寬+主動外聯響應流量頻寬
因為Cloud Firewall的流量峰值頻寬採用時間段彙總的資料,即總流量頻寬是同一時間點請求和響應流量頻寬之和。但是請求和響應流量峰值頻寬分別取彙總時間段內的流量峰值,可以是同一時間點,也可以是不同時間點,所以某個具體時間點的總流量峰值頻寬會小於等於請求流量峰值頻寬與響應流量峰值頻寬之和。
什麼情境需要排查異常流量
業務流量發現異常峰值或峰穀時,需要定位具體異常資產IP,以及瞭解詳細業務訪問情況。例如,您的業務實際流量超出購買的防護頻寬,需要排查定位具體資產IP。
如何排查異常流量
步驟一:定位總流量異常峰值的方向
登入Cloud Firewall控制台。在左側導覽列,單擊總覽。
在總覽頁面,查看流量趨勢,發現某個時間點存在出方向或者入方向異常峰值頻寬。
如下圖,可判斷出10/10 15:00出方向和入方向峰值均超過購買頻寬。
說明超過購買的防護頻寬時,趨勢圖上會顯示已購公網流量處理能力的,方便您瞭解流量超過防護頻寬多少。
步驟二:根據入方向或者出方向流量的請求和響應峰值,定位異常IP
以下以排查入方向流量為例,出方向流量的排查思路和入方向一樣。唯一區別是入方向是在頁簽查看流量趨勢圖,出方向是在頁簽查看流量趨勢圖。
在總覽頁面的流量趨勢地區,單擊入方向峰值數值,進入頁簽,查看10/10 15:00入方向峰值頻寬。
單擊10/10 15:00時間軸,在公網IP列表查看10/10 15:00當前帳號下所有業務資產的總流量排序。根據流量排序,定位異常資產。
重要建議設定排查時間範圍為24小時內,擷取更準確的分鐘層級流量資料。
如下圖,定位出異常業務資產的IP為:182.92.XX.XX。因為在10/10 15:00隻有該資產的總流量遠高於其他資產。
如果您需要進一步查看異常資產IP流量資料。單擊該資產IP,右側趨勢圖為您展示該資產請求和響應(流入和流出)的流量資料。
步驟三:結合日誌審計資料,判斷異常流量是否符合業務需要
在公網IP列表選擇,在頁簽,因為是排查的入方向,所以查詢目的IP為182.92.XX.XX,時間為10/10 15:00的流量日誌。
根據日誌查詢結果,查看源IP、源連接埠和目的連接埠,判斷異常流量是否符合業務需要。
根據實際業務做進一步操作。
擴充Cloud Firewall防護頻寬
具體操作,請參見續約說明。
最佳化業務部署
為不需要防護的IP關閉Cloud Firewall
具體操作,請參見關閉互連網邊界防火牆。
如何使用SQL語句查詢異常流量
如果您需要快速查詢異常資產的所有流量,可以在頁面,使用SQL語句進行查詢。
查詢異常資產IP主動外聯的所有目的IP連接埠,並對流量按從大到小排序
log_type:internet_log and src_ip:182.92.XX.XX | select dst_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct if(url='', domain, url)) as url group by dst_ip,dst_port,app_name order by total_B desc其中,182.92.XX.XX為客戶資產IP。
查詢異常資產IP公網暴露的所有源IP連接埠,並對流量按從大到小排序
log_type:internet_log and dst_ip:182.92.XX.XX | select src_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct url) as url group by src_ip,dst_port,app_name order by total_B desc其中,182.92.XX.XX為客戶資產IP。