抓包分析

DDoS高防可以通过流量抓包获取报文及会话明细,满足攻击分析和问题排查场景的需求。您可以创建手动抓包任务立即抓包,抓包后会生成pcap文件,通过分析抓包文件针对性的设置防护策略。本文介绍如何创建抓包任务。

抓包范围

抓包的范围为客户端IP和高防IP之间的流量,不包含高防IP和源站之间的流量。但需要注意的是,如果客户端IP是阿里云上的资源,抓包时不会统计这部分流量。

  • DDoS高防(中国内地):实例均支持抓包,抓包区域为中国内地各清洗节点。

    说明

    对于深圳电信,抓包数据为经过清洗后的数据,不包含清洗前的数据。

  • DDoS高防(非中国内地):

    • 保险防护实例和无忧防护实例:抓包区域为非中国内地的清洗节点。

    • 加速线路:抓包区域仅支持香港地域。

    • 安全加速线路:不支持抓包。

注意事项

  • 采样比:采样比默认为1:1,流量越小采样准确率越高,如果在超大流量的情况下会自动转化为采样抓包,流量越大采样比越大。

  • 包大小限制:中国内地地域,每个抓包任务的数据包大小不超过300 MB。非中国内地地域,每个抓包任务的数据包大小不超过100 MB,超过限制时停止抓包并直接生成包文件。

  • 抓包次数限制:每个阿里云账号每自然月,限制抓包任务次数50次。

  • 抓包文件限制:每个阿里云账号,当前只能有20个抓包文件,超限后请先删除旧的抓包文件。

  • 抓包文件保留时长:最长保留30天,30天后自动删除。

  • 高防实例过期场景:抓包任务标识为失效状态,已释放的实例不支持抓包。

  • 跨境抓包场景:客户端在非中国内地,访问中国内地高防IP,或者客户端在中国内地,访问非中国内地的高防IP的场景下,抓包可能会失败。

创建抓包任务

  1. 开通抓包分析。

    首次访问抓包分析页面时,请单击确认授权,授权将抓包文件存储在OSS共享资源池中。image

  2. 创建抓包任务。

    1. 抓包任务页签,单击创建抓包

      说明

      手动抓包任务同一时间只能进行一个。

      配置项

      说明

      任务类型

      手动抓包:抓包任务创建后,启动抓包。

      协议类型

      取值为TCP、UDP、ICMP、ALL。默认为ALL。

      目的IP

      高防实例的IP。

      安全加速线路不支持抓包,因此不支持选择对应的实例IP。

      目的端口

      取值:0~65535,设置为0表示所有端口。

      源IP

      支持IP地址和IP掩码,*表示所有IP。

      源端口

      取值:0~65535,设置为0表示所有端口。

      抓包时长

      取值:5~60,单位为秒。

      抓包方向

      • 双向:客户端IP和高防IP之间的所有请求。

      • 内到外:高防IP发给客户端IP的请求。

      • 外到内:客户端IP发给高防IP的请求。

  3. 在抓包任务列表,单击操作列的抓包文件,您可以下载或删除该文件。

    说明

    下载文件时,DDoS高防(中国内地)每个任务对应一个抓包文件,DDoS高防(非中国内地)下发抓包任务后,会将数据存在各个清洗节点,因此每个任务会对应9个抓包文件,通过抓包文件名可以区分具体的地域。若抓包期间某个地域没有数据,则下载时没有该地域的抓包文件。另外,下载抓包文件时会从清洗节点本地拉取数据,可能涉及数据跨境传输问题,跨境传输时下载时长可能会延长。

    文件名和地域的对应关系

    地域

    文件名中包含的字段

    香港

    cn-hongkong

    新加坡

    ap-southeast-1

    日本

    ap-northeast-1

    美国(硅谷)

    us-east-1

    美国(弗吉尼亚)

    us-west-1

    德国(法兰克福)

    eu-central-1

    英国(伦敦)

    eu-west-1

    印度尼西亚

    ap-southeast-5

    马来西亚

    ap-southeast-3

  4. (可选)单击再次下发,创建一个新的抓包任务。

相关文档

  • 查看抓包任务的操作日志。具体操作,请参见操作日志

  • 分析抓包文件,针对性的设置防护策略,提升防护效果。详细内容,请参见防护设置