Eudemon8000+SIG聯(lián)動(dòng)DDoS防御方案參數(shù)配置指導(dǎo)-20070818-A

1、目錄 TOC o 1-5 h z HYPERLINK l bookmark17 o Current Document 1目的2 HYPERLINK l bookmark20 o Current Document 2適用范圍2 HYPERLINK l bookmark23 o Current Document SIG+E8000聯(lián)動(dòng)組網(wǎng)參數(shù)配置指導(dǎo)2 HYPERLINK l bookmark26 o Current Document SIG檢測(cè)參數(shù)和防御參數(shù)配置23.1.1基于目標(biāo)的攻擊檢測(cè)判斷條件配置： 23.1.2攻擊源判斷參數(shù)配置： 43.1.3防御參數(shù)配置： 5 HYPERLINK l

2、bookmark60 o Current Document 防火墻各種攻擊防御參數(shù)的配置7 HYPERLINK l bookmark63 o Current Document SYN Flood防御參數(shù)配置：7 HYPERLINK l bookmark66 o Current Document TCP Flood （后續(xù)包）防御參數(shù)配置： 9 HYPERLINK l bookmark69 o Current Document UDP Flood防御參數(shù)配置： 9 HYPERLINK l bookmark72 o Current Document ICMP Flood防御參數(shù)配置： 10 HYP

3、ERLINK l bookmark75 o Current Document DNS Flood防御參數(shù)配置： 11 HYPERLINK l bookmark78 o Current Document Http Get Flood 防御參數(shù)配置： 133.2.6連接耗盡Flood防御參數(shù)配置：14 HYPERLINK l bookmark84 o Current Document 外面典型組網(wǎng)和相應(yīng)的配置參考15 HYPERLINK l bookmark87 o Current Document 5配置關(guān)鍵注意點(diǎn)15 HYPERLINK l bookmark81 o Current Docum

4、ent 5.1防火墻旁?huà)靻蜗蛞饕槐仨毴サ鬞CP的狀態(tài)檢測(cè)155.2防火墻旁?huà)靻蜗蛞饕槐仨毰渲梅聪蚰J(rèn)路由16Eudemon8000+SIG聯(lián)動(dòng)DDoS防御參數(shù)配置指導(dǎo)1目的針對(duì) SIG + Eudemon8000 （注：Eudemon8080 或者 Eudemon8040 , 后 面統(tǒng)稱(chēng) Eudemon8000）聯(lián)動(dòng)DDoS防御、Eudemon8000單獨(dú)旁?huà)霥DoS防御應(yīng)用場(chǎng)景，根據(jù)網(wǎng)絡(luò) 的位置和應(yīng)用類(lèi)型提供合理的DDoS攻擊檢測(cè)參數(shù)和防御參數(shù)，指導(dǎo)對(duì)外測(cè)試和開(kāi)局。避免現(xiàn)場(chǎng)人員繁瑣的調(diào)試過(guò)程，做到在防御DDoS攻擊的同時(shí)能夠合理地保證正常用 戶(hù)的訪(fǎng)問(wèn)。2適用范圍1適用用組網(wǎng)方式：SIG+

5、E8000聯(lián)動(dòng)，Eudemon8000單獨(dú)應(yīng)用；2適用版本：SIG： DDoS分支版本Eudemon8000： V300R001C01、V300R001C02 所有版本3 SIG+E8000聯(lián)動(dòng)組網(wǎng)參數(shù)配置指導(dǎo)3.1 SIG檢測(cè)參數(shù)和防御參數(shù)配置3.1.1基于目標(biāo)的攻擊檢測(cè)判斷條件配置：通過(guò)DDOS 防護(hù)策略管理 全局策略進(jìn)入配置頁(yè)面。見(jiàn)“基于目標(biāo)的攻擊判定策略”配 置項(xiàng)。圖1主要參數(shù)說(shuō)明：（1） 總帶寬：到目標(biāo)IP的流量速率，單位為Kbits/s；（2）總包速率：到目標(biāo)IP的報(bào)文速率，單位為kpps;（3）TCP流數(shù)目：到目標(biāo)IP地址的當(dāng)前生效的會(huì)話(huà)總數(shù)（會(huì)話(huà)標(biāo)識(shí)的五元組：源IP地址、源PO

6、RT、目的IP地址、目的Port、協(xié)議類(lèi)型）；（4）SYN報(bào)文速率：到目標(biāo)IP地址的SYN報(bào)文速率，單位為kpps;（5）異常報(bào)文檢測(cè)開(kāi)關(guān)：?jiǎn)?dòng)/關(guān)閉到目標(biāo)IP地址的畸形報(bào)文檢測(cè)，可以檢測(cè)的畸 形報(bào)文有：TCP（Land攻擊、Winnuke攻擊、非法TCP標(biāo)志報(bào)文攻擊，TearDrop攻擊等）;UDP（Fraggle 攻擊，TearDrop 攻擊等）；ICMP （ Ping Of Death, TearDrop 攻擊等）.異常報(bào)文速率：到目標(biāo)IP地址所有異常報(bào)文的速率，單位packet/s;（6）DNS報(bào)文速率：到DNS服務(wù)器的DNS報(bào)文速率，單位為kpps;（7）HTTP Get報(bào)文速率:到

7、HTTP服務(wù)器的HTTP Get報(bào)文請(qǐng)求速率，單位為kpps;這些條件是或的關(guān)系，當(dāng)任何一個(gè)條件達(dá)到設(shè)置的閾值時(shí)就認(rèn)為時(shí)目標(biāo)受到攻擊。相 應(yīng)的參數(shù)配置選擇：參數(shù)名稱(chēng)默認(rèn)參數(shù)應(yīng)用場(chǎng)景一（城域網(wǎng)出口 =10G）應(yīng)用場(chǎng)景一（IDC 出口）（1G 防護(hù)策略管理 全局策略進(jìn)入配置頁(yè)面。見(jiàn)“基于源的攻擊判定策略” 配置項(xiàng)。圖2當(dāng)識(shí)別出目標(biāo)IP地址受到TCP、UDP、ICMP Flood后，通過(guò)這些參數(shù)識(shí)別出異常的攻擊源IP，并把這些IP地址添加到防火墻的黑名單。參數(shù)的意義：（1）源IP帶寬控制：黑名單帶寬百分比：某個(gè)源IP流量占目標(biāo)IP總流量的百分比；HUAW6I Eudemon8000+SIG聯(lián)動(dòng)DDo

8、S防御參數(shù)配置指導(dǎo)內(nèi)部公開(kāi)黑名單帶寬：某個(gè)源IP到受攻擊目標(biāo)IP的總流量速率，單位kbits/s；兩個(gè)參數(shù)同時(shí)滿(mǎn)足時(shí)，源IP地址會(huì)被加入到防火墻的黑名單；示例配置表示，當(dāng)某個(gè)IP流量帶寬占目標(biāo)IP總帶寬的10%，并且超過(guò)11M時(shí)認(rèn)為在發(fā)起攻擊，會(huì)把該IP地址告訴防火墻加入黑名單。建議值：=20M bits/s(2)源IP報(bào)文速率控制：黑名單報(bào)文速率百分比：某個(gè)源IP報(bào)文速率占目標(biāo)IP總報(bào)文速率的百分比；黑名單報(bào)文速率：某個(gè)源IP到受攻擊目標(biāo)IP的總報(bào)文速率，單位kpps；兩個(gè)參數(shù)同時(shí)滿(mǎn)足時(shí)，源IP地址會(huì)被加入到防火墻的黑名單；示例配置表示，當(dāng)某個(gè)IP報(bào)文速率占目標(biāo)IP總報(bào)文速率的60%，并且超

9、過(guò)22Kpps時(shí)認(rèn)為在發(fā)起攻擊，會(huì)把該IP地址告訴防火墻加入黑名單。注意：通過(guò)源IP帶寬、或者源IP報(bào)文速率判斷一個(gè)IP地址正在發(fā)起攻擊時(shí)，會(huì)把源IP地址加入到防火墻的黑名單，限制攻擊源發(fā)送的報(bào)文。建議值：=5 kppss3.1.3防御參數(shù)配置：1全局防御參數(shù)配置：通過(guò)DDOS 防護(hù)策略管理 全局策略進(jìn)入配置頁(yè)面。見(jiàn)“全局限流策略”配置項(xiàng)。當(dāng)識(shí)別出某個(gè)目標(biāo)受攻擊后，向防火墻下發(fā)流量CAR值。主要用于當(dāng)報(bào)文經(jīng)過(guò)防火 墻的攻擊防御處理流程后速率仍然很大、避免目標(biāo)擁塞而進(jìn)行的速率限制。目前只有“帶寬”生效，“報(bào)文速率”暫不支持。參數(shù)：huaw曰 Eudemon8000+SIG聯(lián)動(dòng)DDoS防御參數(shù)配置

10、指導(dǎo)內(nèi)部公開(kāi)TCP閾值，“帶寬”：指到允許到目標(biāo)IP地址的TCP流量上限；說(shuō)明，對(duì)于有SYN，ACK等報(bào)文的正常會(huì)話(huà)連接不會(huì)進(jìn)行限速。UDP閾值，“帶寬”：指到允許到目標(biāo)IP地址的UDP流量上限；ICMP閾值，“帶寬”：指到允許到目標(biāo)IP地址的ICMP流量上限；參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一（城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC）TCP閾值512M200M200MUDP閾值512M100M100MICMP閾值20M1M1M2基于目標(biāo)的防御參數(shù)配置：通過(guò)DDOS 防護(hù)策略管理 策略模板 點(diǎn)擊“增加“按鈕，進(jìn)入策略模板配置項(xiàng)。應(yīng)DDOSffi控一A防護(hù)策略管理策略模板- 增加策略名稱(chēng)：huav/ei_beijin

11、g攻擊類(lèi)型：0全選 0 TCP-Floodji攻擊 0 UDP-Flood流是攻擊 0 ICMP-Flood流星攻擊限蠢國(guó)值控制類(lèi)型TCP閾值UDP閾值ICMP閾值帶寬=:(0-1024 Mbit/s)(0-1024 Mbit/s)(0-120 Mb包速 率=:未配置(0-3500 kpps)未配置(0-3500 kpps)未配宣(040U kppz并發(fā)流數(shù) 目=:未配置(0-3500 條)增加通這些參數(shù)的定義和全局策略一樣。需要根據(jù)目標(biāo)服務(wù)器的類(lèi)型、流量模型、以及最大承受能力選擇相應(yīng)的參數(shù)值。藍(lán)色的 為比較合理的值。參數(shù)默認(rèn)值門(mén)戶(hù)網(wǎng)站（大型，如sohu,sina 等）游戲服務(wù)器聊天服務(wù)器視頻

12、服務(wù)器TCP閾值512M100M20M100M200MUDP閾值512M5M50M100M100MICMP閾值20M1M1M1M1M定義完模板后，通過(guò)下面的DDOS 防護(hù)策略管理 防護(hù)對(duì)象管理中為特定保護(hù)對(duì)象 指定適應(yīng)的防御模板。3.2防火墻各種攻擊防御參數(shù)的配置（說(shuō)明：詳細(xì)的攻擊防御原理見(jiàn)城域網(wǎng)DDOS防御方案培訓(xùn)膠片-V1.0（20070725）.ppt， 這里只是針對(duì)不同應(yīng)用場(chǎng)景下的參數(shù)配置提供配置指導(dǎo)）3.2.1 SYN Flood防御參數(shù)配置:針對(duì)SYN Flood 處理流程如下:1接口板參數(shù)配置：針對(duì)下面兩種組網(wǎng)方式，參數(shù)有所差別，選擇其中的一種：（1）防火墻旁?huà)?，只有單向流量?jīng)過(guò)

13、防火墻第一步：首包限速：Eudemon firewall defend syn-flood enableEudemon firewall defend syn-flood interface Ethernet | |GigabitEthernet | all X/X/X max-rate 5000 tcp-proxy off參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一（城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC 入口）max-rate接口 SYN報(bào)文速率 閾值（pps）1000 packets/s=10000=5000HUAWEI Eudemon800）0+SIG聯(lián)動(dòng)DDoS防御參數(shù)配置指導(dǎo)內(nèi)部公開(kāi)tcp-proxySYN報(bào)文超

14、過(guò)閾值 的處理方式autooffoff來(lái)回路徑不一致的情況下，接口 SYN報(bào)文速率判斷閾值應(yīng)該設(shè)置大于5000 packets, 并且代理方式必須為off,這樣超過(guò)設(shè)定閾值的報(bào)文就會(huì)被丟棄。第二步：源探測(cè)：Eudemon firewall source-ip detect interface Ethernet I IGigabitEthernet I all X/X/X通過(guò)源探測(cè)的方式判斷源地址是否合法，不需要增加額外的參數(shù)。（2）來(lái)回路徑一致情況下的TCP代理；第一步：首包限速：Eudemon firewall defend syn-flood enableEudemon firewall

15、defend syn-flood interface Ethernet | |GigabitEthernet | all X/X/Xmax-rate 1000 tcp-proxy auto參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一 （城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC 入口）max-rate接口 SYN報(bào)文速率 閾值（pps）1000 packets/s10001000tcp-proxySYN報(bào)文超過(guò)閾值autoautoauto對(duì)應(yīng)的參數(shù)使用默認(rèn)值即可，即使超過(guò)閾值，只是起TCP代理，不會(huì)丟棄報(bào)文。第二步：源探測(cè)：不需要配置。2防火墻板參數(shù)配置：對(duì)于SYN Flood防范，不需要配置基于會(huì)話(huà)的限速，只需要配置目的CAR

16、。Eudemonfirewall ddos-policy ip X.X.X.X tcp-max-speed Mbits/s參數(shù)默認(rèn)值應(yīng)用場(chǎng)景（門(mén)戶(hù)網(wǎng)站、大型服務(wù)器）應(yīng)用場(chǎng)景二（小型服務(wù)器）tcp-max-speed限制到目標(biāo)IP的整個(gè) TCP 流量(Mbits/s)不限制=100=20說(shuō)明：（1）對(duì)于有SYN、ACK報(bào)文的會(huì)話(huà)認(rèn)為是正常會(huì)話(huà)，不會(huì)受上面的參數(shù)限制。（2）這個(gè)值必須設(shè)置到目標(biāo)服務(wù)器所能承受的最大帶寬范圍之內(nèi)，避免服務(wù)器被 攻癱。HLJAWGI Eudemon8000+SIG聯(lián)動(dòng)DDoS防御參數(shù)配置指導(dǎo)內(nèi)部公開(kāi)3.2.2 TCP Flood （后續(xù)包）防御參數(shù)配置：對(duì)于TCP后續(xù)報(bào)

17、文（SYN+ACK、ACK、FIN等），主要防御流程見(jiàn)下圖：1基于會(huì)話(huà)的限速Eudemon firewall defend tcp-flood base-session max-rate packets/s參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一（門(mén)戶(hù)網(wǎng)站、大型服務(wù) 器）應(yīng)用場(chǎng)景二（小型服務(wù)器）max-rate設(shè)置一個(gè)會(huì)話(huà)每秒鐘最多允許通過(guò)的報(bào)文個(gè)數(shù)（pps）不限制=1000=10002基于目標(biāo)限速見(jiàn)3.2.1中的2,共用相同的參數(shù)。3.2.3 UDP Flood防御參數(shù)配置:UDP Flood的攻擊防御流程:防火墻板1首包限速Eudemon firewall defend udp-flood enableEud

18、emon firewall defend udp-flood interface Ethernet |GigabitEthernet | all X/X/X max-rate 配置基于接口的UDP首包速率限制，超過(guò)該值時(shí)直接丟棄。參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一 （城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC 入口）max-rate接口 UDP報(bào)文速率 閾值（pps）不限制=5000=2000說(shuō)明：需要根據(jù)保護(hù)的服務(wù)器類(lèi)型進(jìn)行合理的選擇。2基于會(huì)話(huà)限速Eudemonfire defend udp-flood base-session max-rate 參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一（城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC 入口）max-

19、rate同一個(gè)會(huì)話(huà)允許通過(guò) 的報(bào)文速率（pps）不限制=1000=10003基于指紋識(shí)別Eudemon firewall defend ddos enable自動(dòng)進(jìn)行判斷、不需要額外的參數(shù)。4基于目標(biāo)限速Eudemonfirewall ddos-policy ip udp-max-speed (Mbits/s)參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一（大型UDP服務(wù)器）應(yīng)用場(chǎng)景二（小型視頻服務(wù)器）udp-max-speed 限制到目標(biāo)服務(wù)器 UDP報(bào)文的總帶寬（Mbits/s）不限制=100M=10說(shuō)明：（1）對(duì)非UDP服務(wù)器可以限制全部的ICMP流量；（2）流量必須小于目標(biāo)服務(wù)器所能承受的最大帶寬;3.2.4

20、ICMP Flood防御參數(shù)配置:ICMP Flood的攻擊防御流程:防火墻板目標(biāo)限流huaw曰 Eudemon8000+SIG聯(lián)動(dòng)DDoS防御參數(shù)配置指導(dǎo)內(nèi)部公開(kāi)1首包限速Eudemon firewall defend icmp-flood enableEudemon firewall defend icmp-flood interface Ethernet IGigabitEthernet I all X/X/X max-rate 1000配置基于接口的ICMP首包速率限制，超過(guò)該值時(shí)直接丟棄。參數(shù)默認(rèn)值應(yīng)用場(chǎng)景 （城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC 入口）max-rate接口 ICMP報(bào)文速

21、率 閾值（pps）不限制=500=1002基于會(huì)話(huà)限速Eudemon firewall defend icmp-flood base-session max-rate 5參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一 （城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC 入口）max-rate同一個(gè)會(huì)話(huà)允許通過(guò) 的報(bào)文速率（pps）不限制=10=103基于目標(biāo)限速Eudemonfirewall ddos-policy ip udp-max-speed (Mbits/s)參數(shù)默認(rèn)值應(yīng)用場(chǎng)景（大型服務(wù)器）應(yīng)用場(chǎng)景二（小型服務(wù)器）udp-max-speed限制到目標(biāo)服務(wù)器ICMP報(bào)文的總帶寬（Mbits/s）不限制=1=1說(shuō)明：（1）流量必須小

22、于目標(biāo)服務(wù)器所能承受的最大帶寬;3.2.5 DNS Flood防御參數(shù)配置:DNS Flood的攻擊防御流程：防火墻板目的限流1會(huì)話(huà)限速Eudemon firewall defend dns-flood base-session max-rate 5配置dns基于會(huì)話(huà)的速度的限制參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一（城域網(wǎng)入口應(yīng)用場(chǎng)景二（IDC 入口）max-rate同一個(gè)DNS會(huì)話(huà)允 許通過(guò)的報(bào)文速率（pps）5=5=52源限流Eudemon firewall defend ddos enableEudemon firewall defend dns-flood enableEudemon acl 3000

23、Eudemon rule 5 permit udpEudemon-interzone-trust-untrust firewall defend ddos acl 3000 outboundEudemon -GigabitEthernet2/0/0 firewall flow-statistic enable域間配置使能ACL功能，只有命中acl才做基于源的DNS Flood防范。Eudemon firewall defend ddos dns-flood source-car 20 interval 2源car限流策略，推薦值是2秒源car限制為20個(gè)dns報(bào)文參數(shù)默認(rèn)值應(yīng)用場(chǎng)景 （城域網(wǎng)入

24、口）應(yīng)用場(chǎng)景二（IDC 入口）source-car interval源car限流，限制每interval每源限制報(bào)文數(shù)2秒源car限制為20 個(gè)報(bào)文2秒源car限制為50 個(gè)報(bào)文2秒源car限制為50 個(gè)報(bào)文3目標(biāo)攻擊判斷Eudemon firewall ddos-policy global dns-max-speed 10配置基于目的的DNS攻擊判斷閾值，只有大于此閥值時(shí)防火墻才進(jìn)行dns的攻擊防范參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一 （城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC 入口）dns-max-speed到目標(biāo)服務(wù)器DNS 攻擊的判斷閾值不使能=10=104基于目標(biāo)限流：參考2.2.3的4， UDP基于目標(biāo)的限

25、速；3.2.6 Http Get Flood防御參數(shù)配置:Http Get Flood的攻擊防御流程：防火墻板G判斷攻擊源，并把D報(bào)文閥冒玲源地址加入黑名玷 單1目的地址Get報(bào)文閥值Eudemon firewall defend ddos enableEudemon firewall defend ddos get-flood enableEudemonacl 3000Eudemon-acl-adv-3000rule 5 permit udpEudemon-interzone-trust-untrust firewall defend ddos acl 3000 outbound域間配置使能

26、ACL功能，只有命中acl才做HTTP Get Flood攻擊防范Eudemon firewall defend ddos get-flood alert 8000 interval 2啟動(dòng)Get Flood防御的閾值，即特定時(shí)間內(nèi)的HTTP/GET請(qǐng)求數(shù)及 恢復(fù)正常狀態(tài)的 閾值，推薦值是2秒8000個(gè).參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一（城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC 入口）alert pkts interval 特定interval時(shí)間間隔內(nèi)到達(dá)目的IP的Http get報(bào)文數(shù)。2秒內(nèi)通過(guò)8000個(gè) http get 報(bào)文。2 秒內(nèi) 5000 個(gè) http get 報(bào)文2 秒內(nèi) 2000 個(gè) http

27、get 報(bào)文2攻擊源判斷Eudemon firewall defend ddos get-flood source-statistic alert 8設(shè)置源alert值，當(dāng)interval時(shí)間內(nèi)低于此閥值，則不做源檢查，推薦值是8HLJAWGI Eudemon8000+SIG聯(lián)動(dòng)DDoS防御參數(shù)配置指導(dǎo)內(nèi)部公開(kāi)Eudemon firewall defend ddos get-flood source-statistic source-car 800 interval 2 說(shuō)明：限制單個(gè)IP地址在interval time時(shí)間內(nèi)向受攻擊的服務(wù)器發(fā)送GET請(qǐng)求的最大數(shù) 為source car，當(dāng)超

28、過(guò)該閥值時(shí)丟棄報(bào)文，并將源加入黑名單。Eudemon firewall defend ddos get-flood source-statistic match-times 5設(shè)置源get報(bào)文速率相近次數(shù)，推薦值是3說(shuō)明:當(dāng)源IP連續(xù)match times個(gè)時(shí)間間隔內(nèi)向受攻擊服務(wù)器發(fā)送相近的Get（Post）請(qǐng) 求數(shù)時(shí)，將該IP地址加入黑名單.（例如IPA連續(xù)5個(gè)2秒內(nèi)向受攻擊服務(wù)器Sd 都發(fā)送3個(gè)Get（Post）請(qǐng)求，那么就將該IP地址加黑名單）。參數(shù)默認(rèn)值應(yīng)用場(chǎng)景（城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC 入口）alert當(dāng)interval時(shí)間內(nèi)報(bào)文數(shù)低于此閥值，不做源統(tǒng)計(jì)888source-ca

29、r interval interval時(shí)間內(nèi)，允許一個(gè)源通過(guò)的get報(bào) 文數(shù)每2秒800個(gè)每2秒800個(gè)每2秒800個(gè)match-times源get報(bào)文速率相近 次數(shù)3553源地址加入黑名單源地址被檢測(cè)到攻擊后，會(huì)自動(dòng)加入到黑名單。說(shuō)明：（1）因?yàn)樵碔P被判定為攻擊者后會(huì)被加入黑名單，參數(shù)配置有誤會(huì)影響正常業(yè)務(wù);（2）提前了解需要保護(hù)的服務(wù)器的業(yè)務(wù)，參數(shù)可以配置寬一些，防止誤判；3.2.6連接耗盡Flood防御參數(shù)配置:連接耗盡Flood的攻擊防御流程:1會(huì)話(huà)統(tǒng)計(jì)異常報(bào)文數(shù)Eudemon firewall defend ddos tcp-illeage-session packet 1 interval 10HUAW6I Eudemon8000+SIG聯(lián)動(dòng)DDoS防御參數(shù)配置指導(dǎo)內(nèi)部公開(kāi)說(shuō)明：該配置是統(tǒng)計(jì)會(huì)話(huà)上的異常報(bào)文數(shù)目；如果三次握手后10秒內(nèi)該會(huì)話(huà)上的報(bào)文 數(shù)小于1,將源IP的異常連接統(tǒng)計(jì)數(shù)目會(huì)加1。參數(shù)默認(rèn)值應(yīng)用場(chǎng)景一 （城域網(wǎng)入口）應(yīng)用場(chǎng)景二（IDC 入口）packet pkts interval 統(tǒng)計(jì)interval時(shí)間間隔內(nèi)的每條會(huì)話(huà)上的 異常報(bào)文數(shù)目10秒內(nèi)小于1個(gè)10秒內(nèi)小于1個(gè)10秒內(nèi)小于1個(gè)2基于源IP統(tǒng)計(jì)異常會(huì)話(huà)數(shù)E