IP内网攻击报警，怎么取消掉？

在故障监控中心里一直报一个IP内网DOS攻击，按步骤已排除此IP，并吧这IP加到全局排除列表，但还是报这个IP内网攻击，该怎么取消这个报警呢？
[图片]

1、建议启用【防DOS攻击】，查看系统日志是否有提示，然后根据源IP进行查杀，建议您针对dos攻击的内网用户排查杀毒，检查内网IP对应的终端是否中毒，用杀毒软件杀下毒；
2、设备上查看到的源地址不一定就是攻击者因为源目地址都是可以伪造的。如果是伪造的源地址要查需要在内网交换机上查攻击源。
3、确定内网没有DOS攻击，正常流量超过DOS攻击设定的TCP最大连接数或者最大攻击包数，可以勾选【以下IP地址发起的攻击不会被拦截】，把该IP写进去

在深信服上网行为管理设备中，如果已经将某个IP加入到全局排除列表，并且进行了相关的故障排查，但仍然持续收到该IP的内网DOS攻击报警，可以尝试以下步骤来进一步解决问题：

1. 确认全局排除配置是否生效
确保你添加的IP地址确实被正确加入到全局排除列表中。
检查配置是否已保存并应用。有些设备需要手动点击“应用”或“提交”按钮才能使配置生效。
验证排除策略的优先级：确保全局排除规则的优先级高于其他安全策略。
2. 检查是否有其他重复策略
确认是否存在其他可能覆盖全局排除策略的规则。例如：
是否有针对该IP的单独安全策略？
是否有基于用户、部门或其他条件的策略冲突？
如果存在冲突策略，调整这些策略以确保排除规则优先。
3. 清理设备缓存
深信服设备可能会缓存某些攻击事件信息。尝试清理设备的缓存或重启相关服务：
登录设备后台，找到“系统维护”或“缓存清理”选项。
清理流量日志或攻击事件缓存。
如果允许，可以尝试重启设备（注意选择合适的时间段，避免影响业务）。
4. 检查网络拓扑和环路问题
内网DOS攻击报警可能是由于网络拓扑问题导致的，例如网络环路或广播风暴。
检查网络拓扑是否存在环路，或者是否有其他设备产生异常流量。
使用以下方法排查：
查看交换机端口流量统计，定位异常流量来源。
检查是否有ARP风暴或MAC地址漂移现象。
5. 升级设备固件版本
某些情况下，可能是设备软件中的Bug导致报警无法取消。
检查当前设备的固件版本，查看官方是否发布了修复类似问题的新版本。
如果有新版本，建议备份配置后进行升级。
6. 联系技术支持
如果以上方法均无效，建议联系深信服的技术支持团队，提供以下信息以便他们协助排查：
设备型号和当前固件版本。
报警的具体内容（如攻击类型、频率等）。
已采取的措施和效果。
日志文件或抓包数据（如有必要）。
7. 临时解决方案
如果问题暂时无法解决，但又希望消除报警，可以尝试以下方式：
在“告警中心”或“日志中心”中，设置过滤规则，屏蔽该IP的相关报警。
注意：这只是临时措施，不能从根本上解决问题。
通过以上步骤，应该可以有效解决内网DOS攻击报警的问题。如果问题依然存在，建议深入分析网络环境，确保没有其他潜在的安全威胁或配置错误。

1、建议启用【防DOS攻击】，查看系统日志是否有提示，然后根据源IP进行查杀，建议您针对dos攻击的内网用户排查杀毒，检查内网IP对应的终端是否中毒，用杀毒软件杀下毒；
2、设备上查看到的源地址不一定就是攻击者因为源目地址都是可以伪造的。如果是伪造的源地址要查需要在内网交换机上查攻击源。
3、确定内网没有DOS攻击，正常流量超过DOS攻击设定的TCP最大连接数或者最大攻击包数，可以勾选【以下IP地址发起的攻击不会被拦截】，把该IP写进去

在深信服上网行为管理设备中，也遇到到内网DOS攻击，有时有有时没有

清理设备缓存
深信服设备可能会缓存某些攻击事件信息。尝试清理设备的缓存或重启相关服务：
登录设备后台，找到“系统维护”或“缓存清理”选项。
清理流量日志或攻击事件缓存。
如果允许，可以尝试重启设备（注意选择合适的时间段，避免影响业务）。

升级设备固件版本
某些情况下，可能是设备软件中的Bug导致报警无法取消。
检查当前设备的固件版本，查看官方是否发布了修复类似问题的新版本。
如果有新版本，建议备份配置后进行升级。

确认排除设置：请确保您已经在AF的[策略]-[安全策略]-[DoS/DDoS防护]-[DoS防护辅助工具]中将该IP地址正确加入全局排除列表。确保没有输入错误或遗漏。
检查AC的配置：在AC的[上网安全]-[安全能力]-[安全配置]中，确认该IP是否被加入了“以下地址发起的攻击不会被拦截”列表中。


重启设备：如果以上设置都正确，但报警依然存在，建议尝试重启AC设备，以确保配置生效。

查看日志：检查相关的日志信息，确认是否有其他因素导致该IP仍被识别为攻击源。

联系技术支持：如果问题依然存在，建议您联系深信服的技术支持团队，提供详细的故障信息，以便他们进行更深入的分析和处理。