DDoS高防可以通过流量抓包获取报文及会话明细,满足攻击分析和问题排查场景的需求。您可以创建手动抓包任务立即抓包,抓包后会生成pcap文件,通过分析抓包文件针对性的设置防护策略。本文介绍如何创建抓包任务。
抓包范围
抓包的范围为客户端IP和高防IP之间的流量,不包含高防IP和源站之间的流量。但需要注意的是,如果客户端IP是阿里云上的资源,抓包时不会统计这部分流量。
DDoS高防(中国内地):实例均支持抓包,抓包区域为中国内地各清洗节点。
说明对于深圳电信,抓包数据为经过清洗后的数据,不包含清洗前的数据。
DDoS高防(非中国内地):
保险防护实例和无忧防护实例:抓包区域为非中国内地的清洗节点。
加速线路:抓包区域仅支持香港地域。
安全加速线路:不支持抓包。
注意事项
采样比:采样比默认为1:1,流量越小采样准确率越高,如果在超大流量的情况下会自动转化为采样抓包,流量越大采样比越大。
包大小限制:中国内地地域,每个抓包任务的数据包大小不超过300 MB。非中国内地地域,每个抓包任务的数据包大小不超过100 MB,超过限制时停止抓包并直接生成包文件。
抓包次数限制:每个阿里云账号每自然月,限制抓包任务次数50次。
抓包文件限制:每个阿里云账号,当前只能有20个抓包文件,超限后请先删除旧的抓包文件。
抓包文件保留时长:最长保留30天,30天后自动删除。
高防实例过期场景:抓包任务标识为失效状态,已释放的实例不支持抓包。
跨境抓包场景:客户端在非中国内地,访问中国内地高防IP,或者客户端在中国内地,访问非中国内地的高防IP的场景下,抓包可能会失败。
创建抓包任务
开通抓包分析。
首次访问抓包分析页面时,请单击确认授权,授权将抓包文件存储在OSS共享资源池中。
创建抓包任务。
在抓包任务页签,单击创建抓包。
说明手动抓包任务同一时间只能进行一个。
配置项
说明
任务类型
手动抓包:抓包任务创建后,启动抓包。
协议类型
取值为TCP、UDP、ICMP、ALL。默认为ALL。
目的IP
高防实例的IP。
安全加速线路不支持抓包,因此不支持选择对应的实例IP。
目的端口
取值:0~65535,设置为0表示所有端口。
源IP
支持IP地址和IP掩码,*表示所有IP。
源端口
取值:0~65535,设置为0表示所有端口。
抓包时长
取值:5~60,单位为秒。
抓包方向
双向:客户端IP和高防IP之间的所有请求。
内到外:高防IP发给客户端IP的请求。
外到内:客户端IP发给高防IP的请求。
在抓包任务列表,单击操作列的抓包文件,您可以下载或删除该文件。
说明下载文件时,DDoS高防(中国内地)每个任务对应一个抓包文件,DDoS高防(非中国内地)下发抓包任务后,会将数据存在各个清洗节点,因此每个任务会对应9个抓包文件,通过抓包文件名可以区分具体的地域。若抓包期间某个地域没有数据,则下载时没有该地域的抓包文件。另外,下载抓包文件时会从清洗节点本地拉取数据,可能涉及数据跨境传输问题,跨境传输时下载时长可能会延长。
(可选)单击再次下发,创建一个新的抓包任务。