先表一下起因:
某客户网络整改之后发现网络特别慢,排查设备,发现AF-1720软件版本6.3上某个接口(DMZ区域)流量不正常,流量在600Mbps上下。 设备负载在30%左右,抓包排查之后发现总是对某高防IDC机房的ip的7009端口进行发包,数据包大小在700左右,发包的是一台服务器,但是自己比较奇怪当时开通了DOS防护策略为什么还有这么高的流量,为不影响客户上网,就加了一条应用控制策略封堵了此IP,400协助抓包说中了病毒,总是对外发起连接,但是因为没有建立连接成功,所以连接数限制没有成功,没有封堵的时候设备会话在27万左右,封堵之后会话只有6万上下。
为了搞清楚为什么设备没有进行阻拦,所以跟某公司借了一台型号和性能接近的设备AF-1820(2U设备太TM的沉了),软件版本略高为AF6.5版本。公司的服务器没有空余的找几台笔记本进行了测试,模拟了600Mbps左右的流量,因为笔记本性能限制,只启动了4000并发,dos策略设置的阈值都是1000,然后发送抓到的tcp的包,数据包内容是客户现场抓到的包。
打开任务管理器,观察网卡流量。
登录设备流量符合预期,600Mbps上下。
截图时间不对,勿纠结 启用策略,发现没有增长。 策略如下
自己没有勾选阻断,为什么没有勾选一会再说。
等待十分钟之后发现记录数没有增长。
拿另外一台电脑测试的时候发现了一条记录 其他的三条记录是在当时tcp发包无效的情况下,改成udp发包触发的,包速过快其实也算触发规则了。
勾选阻断之后观察接口流量没有太大变化。还是几百兆上下。
所以自己去掉了阻拦。
到现在我可以认定AF设备的dos防护策略针对TCP的发布是失效了吗?
我不想用官方提供的ddos测试工具区测试,因为那是针对性测试,难道现网环境下适应性这么差劲吗? | 
发表于 2016-11-1 15:21
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
