华三交换机上配置静态黑洞路由,5分钟搞定DDoS攻击流量丢弃
华三交换机静态黑洞路由实战:5分钟精准拦截DDoS攻击流量
凌晨2点15分,监控平台突然弹出数十条告警——核心业务服务器的入站流量在3分钟内暴涨800%。作为值班网管,你迅速定位到这是一起典型的UDP反射放大攻击,攻击源遍布全球,而公司并未部署专业抗DDoS设备。此时,在华三交换机上快速配置静态黑洞路由,可能是拯救业务系统的最后防线。
本文将基于真实攻防场景,详解如何用5条核心命令构建精准流量过滤器。不同于基础教程,我们特别聚焦:
- 攻击IP指纹识别:如何从海量流量中提取特征IP段
- 最小化误杀:业务IP白名单保护机制
- 临时策略撤销:攻击停止后的自动化清理方案
1. 攻击特征分析与目标IP锁定
面对DDoS攻击,首要任务是确定需要丢弃的流量特征。通过华三交换机的display interface命令观察入站端口流量:
<H3C> display interface GigabitEthernet 1/0/24 GigabitEthernet1/0/24 current state: UP Last 300 seconds input: 94567234 packets/sec, 9872Mbits/sec当发现某个端口输入流量异常激增时,使用display packet-filter进行深度包检测:
<H3C> display packet-filter statistics interface GigabitEthernet 1/0/24 UDP packets: 98.7% of total Source IP ranges: 45.148.10.0/24: 62% 185.239.0.0/16: 28%关键决策矩阵:
| 判断维度 | 合法业务流量 | 可疑攻击流量 |
|---|---|---|
| 协议类型 | TCP/HTTP/HTTPS | UDP/DNS/NTP |
| 源IP分布 | 已知客户IP段 | 陌生国际IP段 |
| 包大小 | 平均1.5KB | 固定1500字节 |
| 请求频率 | 50-100次/秒 | 5000+次/秒 |
注意:建议先对可疑IP段做tcpdump抓包验证,避免误判
tcpdump -i GE1/0/24 host 45.148.10.1 -w /tmp/debug.pcap
2. 华三交换机黑洞路由配置实战
确认攻击特征后,通过SSH登录交换机执行应急操作。以下是经过实战验证的命令序列:
# 进入系统视图 <H3C> system-view [H3C] # 配置/32位精确黑洞路由(针对单个攻击IP) [H3C] ip route-static 45.148.10.1 255.255.255.255 NULL0 preference 254 # 配置/24段批量黑洞(针对整个攻击网段) [H3C] ip route-static 45.148.10.0 255.255.255.0 NULL0 preference 254 tag 6666 # 保存配置到启动文件 [H3C] save force参数解析:
preference 254:设置低优先级,确保动态路由优先tag 6666:添加标记便于后续批量管理NULL0:虚拟丢弃接口,不消耗CPU资源
3. 业务保护与误杀预防机制
直接丢弃整个IP段可能影响正常用户,建议采用分级防护策略:
核心业务IP白名单保护:
# 创建ACL保护列表 [H3C] acl number 2000 [H3C-acl-basic-2000] rule permit source 192.168.1.100 0 [H3C-acl-basic-2000] rule permit source 10.0.0.0 0.255.255.255 # 应用ACL到路由策略 [H3C] route-policy BLACKHOLE deny node 10 [H3C-route-policy] if-match acl 2000动态路由优先原则:
# 查看路由表确认优先级 <H3C> display ip routing-table 45.148.10.1 Destination/Mask: 45.148.10.1/32 NextHop: 0.0.0.0 Preference: 254 Interface: NULL0 Protocol: Static模拟测试验证:
# 使用测试IP验证策略 [H3C] ping -a 192.168.1.100 45.148.10.1 PING 45.148.10.1: 56 data bytes, press CTRL_C to break Request time out # 符合预期
4. 攻击缓解后的策略清理
当监控显示流量恢复正常后,需要及时清理临时规则:
# 查看当前所有黑洞路由 <H3C> display ip routing-table protocol static | include NULL0 # 按标记批量删除(使用之前设置的tag 6666) [H3C] undo ip route-static 45.148.10.0 255.255.255.0 NULL0 tag 6666 # 确认业务恢复情况 [H3C] ping 45.148.10.1 count 5 Reply from 45.148.10.1: bytes=56 time=28ms TTL=54 # 连通性恢复自动化清理方案:
# 创建定时自动删除任务(示例:2小时后执行) [H3C] scheduler job BLACKHOLE_CLEAN [H3C-job-BLACKHOLE_CLEAN] command 1 "undo ip route-static 45.148.10.0 255.255.255.0 NULL0" [H3C] scheduler schedule AT_04:00 [H3C-schedule-AT_04:00] job BLACKHOLE_CLEAN [H3C-schedule-AT_04:00] time at 04:00实际运维中发现,约70%的DDoS攻击持续时间不超过6小时。建议配合NetStream或sFlow流量分析,在攻击特征消失后立即触发自动清理脚本,避免长期保留黑洞路由导致潜在业务影响。