本文介紹互聯網邊界業務的整體流量存在超出購買的防護帶寬、以及發生突增、突降或其他異常情況時,如何快速定位到具體的業務資產,方便您對業務資產進行精細化管理。
云防火墻互聯網邊界如何計算流量
云防火墻處理互聯網邊界流量時,在公網入方向和出方向的總流量峰值帶寬中取較大值。公網入方向和出方向的總流量帶寬計算公式如下:
入方向流量帶寬=公網暴露請求流量帶寬+公網暴露響應流量帶寬
出方向流量帶寬=主動外聯請求流量帶寬+主動外聯響應流量帶寬
因為云防火墻的流量峰值帶寬采用時間段聚合的數據,即總流量帶寬是同一時間點請求和響應流量帶寬之和。但是請求和響應流量峰值帶寬分別取聚合時間段內的流量峰值,可以是同一時間點,也可以是不同時間點,所以某個具體時間點的總流量峰值帶寬會小于等于請求流量峰值帶寬與響應流量峰值帶寬之和。
什么場景需要排查異常流量
業務流量發現異常峰值或峰谷時,需要定位具體異常資產IP,以及了解詳細業務訪問情況。例如,您的業務實際流量超出購買的防護帶寬,需要排查定位具體資產IP。
如何排查異常流量
步驟一:定位總流量異常峰值的方向
登錄云防火墻控制臺。在左側導航欄,單擊總覽。
在總覽頁面,查看流量趨勢,發現某個時間點存在出方向或者入方向異常峰值帶寬。
如下圖,可判斷出10/10 15:00出方向和入方向峰值均超過購買帶寬。
說明超過購買的防護帶寬時,趨勢圖上會顯示已購公網流量處理能力的,方便您了解流量超過防護帶寬多少。
步驟二:根據入方向或者出方向流量的請求和響應峰值,定位異常IP
以下以排查入方向流量為例,出方向流量的排查思路和入方向一樣。唯一區別是入方向是在頁簽查看流量趨勢圖,出方向是在頁簽查看流量趨勢圖。
在總覽頁面的流量趨勢區域,單擊入方向峰值數值,進入頁簽,查看10/10 15:00入方向峰值帶寬。
單擊10/10 15:00時間軸,在公網IP列表查看10/10 15:00當前賬號下所有業務資產的總流量排序。根據流量排序,定位異常資產。
重要建議設置排查時間范圍為24小時內,獲取更準確的分鐘級別流量數據。
如下圖,定位出異常業務資產的IP為:182.92.XX.XX。因為在10/10 15:00只有該資產的總流量遠高于其他資產。
如果您需要進一步查看異常資產IP流量數據。單擊該資產IP,右側趨勢圖為您展示該資產請求和響應(流入和流出)的流量數據。
步驟三:結合日志審計數據,判斷異常流量是否符合業務需要
在公網IP列表選擇,在頁簽,因為是排查的入方向,所以查詢目的IP為182.92.XX.XX,時間為10/10 15:00的流量日志。
根據日志查詢結果,查看源IP、源端口和目的端口,判斷異常流量是否符合業務需要。
根據實際業務做進一步操作。
擴充云防火墻防護帶寬
具體操作,請參見續費說明。
優化業務部署
為不需要防護的IP關閉云防火墻
具體操作,請參見關閉互聯網邊界防火墻。
如何使用SQL語句查詢異常流量
如果您需要快速查詢異常資產的所有流量,可以在頁面,使用SQL語句進行查詢。
查詢異常資產IP主動外聯的所有目的IP端口,并對流量按從大到小排序
log_type:internet_log and src_ip:182.92.XX.XX | select dst_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct if(url='', domain, url)) as url group by dst_ip,dst_port,app_name order by total_B desc其中,182.92.XX.XX為客戶資產IP。
查詢異常資產IP公網暴露的所有源IP端口,并對流量按從大到小排序
log_type:internet_log and dst_ip:182.92.XX.XX | select src_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct url) as url group by src_ip,dst_port,app_name order by total_B desc其中,182.92.XX.XX為客戶資產IP。