互联网边界异常流量的排查指导

本文介绍互联网边界业务的整体流量存在超出购买的防护带宽、以及发生突增、突降或其他异常情况时,如何快速定位到具体的业务资产,方便您对业务资产进行精细化管理。

云防火墙互联网边界如何计算流量

云防火墙处理互联网边界流量时,在公网入方向和出方向的总流量峰值带宽中取较大值。公网入方向和出方向的总流量带宽计算公式如下:

  • 入方向流量带宽=公网暴露请求流量带宽+公网暴露响应流量带宽

  • 出方向流量带宽=主动外联请求流量带宽+主动外联响应流量带宽

因为云防火墙的流量峰值带宽采用时间段聚合的数据,即总流量带宽是同一时间点请求和响应流量带宽之和。但是请求和响应流量峰值带宽分别取聚合时间段内的流量峰值,可以是同一时间点,也可以是不同时间点,所以某个具体时间点的总流量峰值带宽会小于等于请求流量峰值带宽与响应流量峰值带宽之和。

什么场景需要排查异常流量

业务流量发现异常峰值或峰谷时,需要定位具体异常资产IP,以及了解详细业务访问情况。例如,您的业务实际流量超出购买的防护带宽,需要排查定位具体资产IP。

如何排查异常流量

步骤一:定位总流量异常峰值的方向

  1. 登录云防火墙控制台在左侧导航栏,单击总览

  2. 总览页面,查看流量趋势,发现某个时间点存在出方向或者入方向异常峰值带宽。

    如下图,可判断出10/10 15:00出方向和入方向峰值均超过购买带宽。

    说明

    超过购买的防护带宽时,趋势图上会显示已购公网流量处理能力的,方便您了解流量超过防护带宽多少。

    image.png

步骤二:根据入方向或者出方向流量的请求和响应峰值,定位异常IP

以下以排查入方向流量为例,出方向流量的排查思路和入方向一样。唯一区别是入方向是在公网暴露 > 可视分析页签查看流量趋势图,出方向是在主动外联 > 可视分析页签查看流量趋势图。

  1. 总览页面的流量趋势区域,单击入方向峰值数值,进入公网暴露 > 可视分析页签,查看10/10 15:00入方向峰值带宽。

  2. 单击10/10 15:00时间轴,在公网IP列表查看10/10 15:00当前账号下所有业务资产的总流量排序。根据流量排序,定位异常资产。

    重要

    建议设置排查时间范围为24小时内,获取更准确的分钟级别流量数据。

    如下图,定位出异常业务资产的IP为:182.92.XX.XX。因为在10/10 15:00只有该资产的总流量远高于其他资产。

    image.png

  3. 如果您需要进一步查看异常资产IP流量数据。单击该资产IP,右侧趋势图为您展示该资产请求和响应(流入和流出)的流量数据。

    image.png

步骤三:结合日志审计数据,判断异常流量是否符合业务需要

  1. 在公网IP列表选择更多 > 查看日志,在日志审计 > 流量日志 > 互联网边界页签,因为是排查的入方向,所以查询目的IP为182.92.XX.XX,时间为10/10 15:00的流量日志。

  2. 根据日志查询结果,查看源IP源端口目的端口,判断异常流量是否符合业务需要。

    image.png

  3. 根据实际业务做进一步操作。

    • 扩充云防火墙防护带宽

      具体操作,请参见续费说明

    • 优化业务部署

      例如,您的业务需要访问阿里云OSS服务SLS服务时,建议您使用内网Endpoint访问,以此来节省公网流量带宽。

    • 为不需要防护的IP关闭云防火墙

      具体操作,请参见关闭互联网边界防火墙

如何使用SQL语句查询异常流量

如果您需要快速查询异常资产的所有流量,可以在日志分析 > 日志查询页面,使用SQL语句进行查询。

  • 查询异常资产IP主动外联的所有目的IP端口,并对流量按从大到小排序

    log_type:internet_log and src_ip:182.92.XX.XX | select dst_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct if(url='', domain, url)) as url group by dst_ip,dst_port,app_name order by total_B desc

    其中,182.92.XX.XX为客户资产IP。

  • 查询异常资产IP公网暴露的所有源IP端口,并对流量按从大到小排序

    log_type:internet_log and dst_ip:182.92.XX.XX | select src_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct url) as url group by src_ip,dst_port,app_name order by total_B desc

    其中,182.92.XX.XX为客户资产IP。

相关文档

  • 查看业务资产的总流量趋势以及确认是否总流量超过购买的云防火墙防护范围,请参见数据总览

  • 查看业务资产访问互联网的情况,包括出方向异常流量溯源、资产访问的互联网目的地址、公网资产主动外联、私网资产主动外联等数据,请参见主动外联

  • 查看互联网访问业务资产的情况,包括入方向异常流量溯源、业务资产开放公网IP、开放端口、开放应用、云产品的公网IP数量等数据,请参见公网暴露

  • 查看互联网边界访问流量的源IP、目的端口、支持的协议、动作状态、流字节数、流报文数等信息,请参见日志审计

  • 使用SQL语句查询互联网边界访问流量的原始日志,请参见查询及分析日志