WAF获取真实IP是从报文中哪个字段获取到的? WAF引擎会根据防护规则确定是否代理转发请求去后端，如果WAF配置了基于IP的规则（比如黑白名单、地理位置、基于IP的精准访问防护规则），那么WAF引擎就会获取真实IP后才能放行或者拦截代理请求。获取真实IP的方法基于以下原则： 在

查看更多 →

DiscardedNumber 丢弃报文数。 对系统的影响 丢弃非法DHCP报文。 可能原因 用户发送的DHCP报文CHADDR字段与报文源MAC不匹配，被设备判断为非法DHCP报文。 处理步骤 使用端口镜像方式获取此接口收到的DHCP报文，查看源MAC地址与DHCP报文Chaddr字段不匹配的报文是否为攻击报文。

查看更多 →

报文源IP地址 SourceMAC 报文源MAC PVLAN 报文外层VLAN CVLAN 报文内层VLAN 对系统的影响 如果产生了该告警，用户的网关信息可能被攻击者改写，导致用户受到攻击，用户业务中断。 可能原因 设备受到源IP与网关IP相同的报文攻击。 处理步骤 根据告警信息中的Sour

查看更多 →

DiscardedNumber 丢弃报文数。 对系统的影响 丢弃非法DHCP报文。 可能原因 有用户仿冒DHCP 服务器 。 处理步骤 在对应端口获取报文头，查看端口下是否有非法用户仿冒DHCP服务器。 通过判断端口下收到的DHCP reply报文中携带的服务器地址是否为配置指定的服

查看更多 →

对系统的影响 无 可能原因 原因1：收到源MAC是全0的报文。 原因2：收到目的MAC是全0的报文。 处理步骤 当设备收到第一个源MAC或目的MAC地址为全0非法MAC地址的报文时，会对该报文进行丢弃，并向网管上报本告警。后继收到相同报文时，只会丢弃，不会再上报告警。 参考信息 无 父主题：

查看更多 →

Snooping绑定表信息，根据最后丢弃报文的源MAC地址，确定用户上线的接口或者VLAN。 使用端口镜像方式获取此接口或者VLAN收到的ND报文。 如果接口下某用户发送大量与绑定表不匹配的ND报文，则用户为非法用户，发送的报文为攻击报文，此时攻击报文已经被丢弃，请根据该用户IPv6地址或MAC地址排查攻击源头。

查看更多 →

DPD请求报文，检测对端PEER是否存活。 如果本端在DPD报文的重传时间间隔内未收到对端回应的DPD报文，则重传DPD请求报文，当到达最大重传次数之后仍然没有收到对端的DPD回应报文，则认为对端已经离线，本端将删除该IKE SA和对应的IPsec SA，同时发送报文通知对端。

查看更多 →

SourceMAC 报文源MAC地址。 OuterVlan 报文外层VLAN。 InnerVlan 报文内层VLAN。 对系统的影响 如果产生了该告警，用户的网关信息可能被攻击者改写，导致用户受到攻击，用户业务中断。 可能原因 设备受到源IP与网关IP相同的报文攻击。 处理步骤 根

查看更多 →

攻击用户的源MAC地址 BCVLAN 广播报文高水位线 PVLAN 攻击用户的内层VLAN EndTime 攻击的最后时间 TotalPackets 收到攻击用户的报文数目 对系统的影响 该告警表示CPU可能会由于忙于处理攻击报文，占用率过高，导致一些正常的业务报文无法得到及时的处理，甚至被丢弃。

查看更多 →

安全重保解决方案 表1 规格清单 一级分类 二级分类 规格名称 规格描述 重保解决方案 备战 暴露面风险评估 从外网扫描发现暴露端口扫描。 资产识别与管理 支持手工录入&excel批量导入。 web漏洞扫描 对SQL注入、跨站脚本攻击、跨站请求伪造、安全配置错误、敏感信息泄露等多种Web常规漏洞进行扫描。

查看更多 →

SourceMAC 报文源MAC PVLAN 报文外层VLAN CVLAN 报文内层VLAN 对系统的影响 如果产生了该告警，用户在设备上的arp表项可能被刷新成攻击者的arp表项，导致用户流量被攻击者截取，用户业务中断。 可能原因 设备受到企图修改ARP表项的报文攻击。 处理步骤

查看更多 →

配置的告警阈值。 VLAN 报文的VLAN ID。 PacketInfo 报文VLAN ID、源MAC地址和源IP地址。 对系统的影响 如果产生了该告警，设备可能受到攻击者攻击，如果攻击流量过大，致使设备处理繁忙，可能导致合法用户业务中断。 可能原因 被IPSG丢弃的报文超过了告警阈值。该阈值通过命令ip

查看更多 →

服务器发送计费开始请求报文（Accounting-Request）。 RADIUS服务器返回计费开始响应报文（Accounting-Response），并开始计费。 华为乾坤云平台作为RADIUS服务器不支持计费功能，通过计费报文判断用户是否在线，计费报文的发送周期在接入控制设备和华为乾坤云平台上必配且必须一致。

查看更多 →

费请求报文，以避免因付费用户异常下线导致的不合理计费。 （可选）HACA服务器返回实时计费响应报文，并实时计费。 用户发起下线请求。 HACA服务器向接入设备发送用户下线请求报文。 接入设备向HACA服务器返回用户下线响应报文。 接入设备向HACA服务器提交计费结束请求报文。 H

查看更多 →

参数说明：通信性能问题定位开关，该参数设置是否打印通信各个节点的报文收发情况。 该参数属于USERSET类型参数，请参考表1中对应设置方法进行设置。 取值范围：布尔型 设置为on/true表示打开报文收发统计日志。 设置为off/false表示关闭报文收发统计日志。 set logging_module='on(COMM_IPC)';

查看更多 →

WEBSOCKET报文、思考时间、响应提取和检查点，以及HLS/RTMP/HTTP-FLV/MQTT报文部分。 报文：报文是HTTP等应用程序之间发送的数据块。这些数据块以一些文本形式的元信息开头，这些信息描述了报文的内容及含义，后面跟着可选的数据部分。这些报文都是在客户端、服务器和代理之间流动。

查看更多 →

- - √ 内核网络协议栈 禁止系统响应ICMP广播报文 〇 〇 - √ 禁止接收ICMP重定向报文 〇 〇 - - 禁止转发ICMP重定向报文 〇 - - √ 应当忽略所有ICMP请求 - - - - 确保忽略伪造的ICMP报文 〇 - - √ 确保启用反向地址过滤 〇 〇 - -

查看更多 →

接口名称 对系统的影响 接口接收到报文的源MAC地址已经在其他接口的静态MAC表中存在，因此接口会直接丢弃该报文。 可能原因 使能了端口安全的接口，接收到报文的源MAC地址已经存在在其他接口的静态MAC表中。 处理步骤 确认该接口下是否需要处理该报文。 Y=>2。 N=>3。 执行命令display

查看更多 →

风暴控制告警（端口索引）。 BroadcastMinRate 广播报文低水位线。 BroadcastMaxRate 广播报文高水位线。 MulticastMinRate 组播报文低水位线。 MulticastMaxRate 组播报文高水位线。 Action 风暴控制惩罚动作。 Interval

查看更多 →

WEBSOCKET报文、思考时间、响应提取和检查点，以及HLS/RTMP/HTTP-FLV/MQTT报文部分。 报文 报文是HTTP等应用程序之间发送的数据块。这些数据块以一些文本形式的元信息开头，这些信息描述了报文的内容及含义，后面跟着可选的数据部分。这些报文都是在客户端、服务器和代理之间流动。

查看更多 →

为事务添加请求信息，添加完成后，单击“确定”。 常规事务可以同时添加报文、思考时间、响应提取、检查点四个请求组成。其中，报文为必选项。 请求组成为“报文”：报文是HTTP应用程序之间发送的数据块。详细步骤请参见添加请求信息（报文）。 请求组成为“思考时间”：设置执行下一个动作之间停留的持

查看更多 →