防护策略配置后,需直观确认策略是否按预期生效,并排查是否有正常业务流量被非预期拦截。DDoS 原生防护拦截查询通过展示拦截的攻击报文详情,帮助您快速验证防护效果,并识别因策略配置不当导致的业务阻断问题。本文介绍如何通过控制台查询拦截记录,解析各字段含义及过滤条件。
功能概述
DDoS 原生防护拦截查询用于展示防护实例在运行过程中识别并拦截的攻击报文详细信息。通过该功能,可以查看每条拦截记录的时间、源/目的 IP、协议类型、处置模块等关键字段。
使用该功能,可以:
验证防护策略是否生效,确认攻击报文被正确拦截。
定位误拦截问题,排查正常流量被错误拦截的原因。
分析攻击来源和攻击类型分布,优化防护策略。
拦截查询适用于快速排查近期少量攻击记录。如需大规模日志分析,请使用日志服务功能。该功能专为 DDoS 原生防护实例设计,仅展示实例级拦截的报文记录。如果使用的是 DDoS 高防产品,请通过日志服务查看更全面的访问日志和攻击日志。
适用范围
已创建 DDoS 原生防护实例,且已设置防护对象。
仅支持DDoS 原生防护实例,DDoS 高防实例不支持该功能。
查询拦截记录
访问流量安全控制台的拦截查询页面。
设置过滤条件:进入拦截查询页面后,按需设置以下过滤条件:
实例:下拉选择 DDoS 原生防护实例。
时间范围:选择查询时间段,最多查询7天内的数据。
协议:指定要查询的协议类型。支持选择全部、TCP、UDP等常见协议。对于其他协议,可直接输入标准协议号进行精确过滤。
源IP地址、目的IP地址、源端口、目的端口:根据业务情况,可切换筛选条件,默认源IP地址。
查询完成后,页面展示拦截记录。若列表区域显示「暂无数据」提示,则表示所选范围内无拦截记录,。
说明若查询结果为空,请检查以下项:
检查实例和时间范围的过滤条件是否正确。
检查实例在所选时间范围内是否存在拦截报文。
列名
说明
源IP地址
发起攻击的源 IP 地址。
目的IP地址
被攻击的目标 IP 地址。
协议
传输层协议或协议号,如 TCP、UDP。
源端口
攻击报文的源端口号。
目的端口
攻击报文的目的端口号。
时间窗口
拦截报文的时间范围,格式为
YYYY-MM-DD HH:mm。匹配次数
相同特征报文被拦截的累计次数。
处置动作
对攻击报文采取的处理方式,如「拦截」。
处置模块
触发拦截的防护模块(如端口封禁、指纹过滤)。
处理拦截记录
拦截查询提供以下两种处理方式:
添加黑名单:将源 IP 加入 IP 防护策略的黑名单,后续来自该 IP 的所有流量将被直接拦截。
添加白名单:将源 IP 加入 IP 防护策略的白名单,后续来自该 IP 的所有流量将被放行。
在目标拦截记录的操作列,单击添加黑名单或添加白名单。
绑定防护策略(可选):若当前源 IP 未绑定IP防护策略,请先完成绑定,然后返回拦截查询页面重新执行步骤 1。
单击点击绑定策略,跳转至防护对象页面。
在修改防护策略页签,选择目标IP防护策略后,单击确定。
若已绑定防护策略,在添加到黑名单或添加到白名单弹窗中,确认当前关联策略及超时配置后,单击添加。
说明黑名单 IP 到达超时时间后会自动移除。如需修改超时时间,请参见黑/白名单。
添加黑白名单后立即生效,并同步影响绑定该策略的所有其他 IP。
确认处理结果
访问流量安全控制台的防护对象页面。
单击处理的目标IP操作列的IP防护策略。
在策略详情页面的黑/白名单区域,单击查看。
在查看黑 / 白名单页签,确认目标 IP 是否存在于黑名单或白名单中。
配额与限制
拦截记录默认保留 7 天,超过保留期限的记录将无法查询。
拦截数据存在延迟,刚拦截的报文可能无法立即在查询结果中显示。