配置Anti-DDoS日志
操作场景
启用Anti-DDoS防护功能后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的Anti-DDoS日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
前提条件
已开通云日志服务。
操作步骤
日志字段说明
本章节介绍了AntiDDoS日志包含的日志字段。
字段 |
说明 |
|---|---|
logType |
日志类型。默认为“ip_attack_sum”,攻击日志。 |
deviceType |
上报日志的设备类型。默认为“CLEAN”,清洗设备。 |
inKbps |
入流量(单位:kbps)。 |
maxPps |
入流量峰值(单位:pps)。 |
dropPps |
丢弃的流量均值(单位:pps)。 |
maxAttackInBps |
攻击流量峰值时刻的入流量值(单位:bps)。 |
currentConn |
当前连接数。 |
zoneIP |
防护的IP。 |
logTime |
日志产生的时间。 |
attackType |
攻击类型,对应的攻击类型请参考表3。 |
inPps |
入流量(单位:pps)。 |
maxKbps |
入流量峰值(单位:kbps)。 |
dropKbps |
丢弃的流量均值(单位:kbps)。 |
startTime |
攻击开始时间。 |
endTime |
攻击结束时间,为空时则表示攻击还未结束。 |
maxAttackInConn |
攻击流量峰值时刻的连接数。 |
newConn |
新建连接数。 |
数值 |
攻击类型 |
|---|---|
0-9 |
自定义服务攻击 |
10 |
Syn Flood攻击 |
11 |
Ack Flood攻击 |
12 |
SynAck Flood攻击 |
13 |
Fin/Rst Flood攻击 |
14 |
并发连接数超过阈值 |
15 |
新建连接数超过阈值 |
16 |
TCP分片报文攻击 |
17 |
TCP分片BandWidth limit攻击 |
18 |
TCP BandWidth limit攻击 |
19 |
UDP flood攻击 |
20 |
UDP分片攻击 |
21 |
UDP分片BandWidth limit攻击 |
22 |
UDP BandWidth limit攻击 |
23 |
ICMP BandWidth limit攻击 |
24 |
Other BandWidth limit攻击 |
25 |
总流量限流 |
26 |
HTTPS Flood攻击 |
27 |
HTTP Flood攻击 |
28 |
保留 |
29 |
DNS Query Flood攻击 |
30 |
DNS Reply Flood攻击 |
31 |
Sip Flood攻击 |
32 |
黑名单丢弃 |
33 |
HTTP URL行为异常 |
34 |
TCP分片abnormal丢弃流量 |
35 |
TCP abnormal丢弃流量 |
36 |
UDP分片abnormal丢弃流量 |
37 |
UDP abnormal丢弃流量 |
38 |
ICMP abnormal攻击 |
39 |
Other abnormal攻击 |
40 |
Connection Flood攻击 |
41 |
域名劫持攻击 |
42 |
DNS投毒攻击报文 |
43 |
DNS反射攻击 |
44 |
超大DNS报文攻击 |
45 |
DNS源请求速率异常 |
46 |
DNS源回应速率异常 |
47 |
DNS域名请求速率异常 |
48 |
DNS域名回应包速率异常 |
49 |
DNS请求报文TTL异常 |
50 |
DNS报文格式异常 |
51 |
DNS Cache匹配丢弃攻击 |
52 |
端口扫描攻击 |
53 |
TCP Abnormal攻击(tcp 报文标记位异常) |
54 |
BGP攻击 |
55 |
UDP关联防范异常 |
56 |
DNS NO such Name异常 |
57 |
Other 指纹攻击 |
58 |
防护对象限流攻击 |
59 |
HTTP慢速攻击 |
60 |
恶意软件防范 |
61 |
域名阻断 |
62 |
FILTER过滤 |
63 |
Web攻击抓包 |
64 |
SIP源限速攻击 |
