华三交换机上配置静态黑洞路由，5分钟搞定DDoS攻击流量丢弃

华三交换机静态黑洞路由实战5分钟精准拦截DDoS攻击流量凌晨2点15分监控平台突然弹出数十条告警——核心业务服务器的入站流量在3分钟内暴涨800%。作为值班网管你迅速定位到这是一起典型的UDP反射放大攻击攻击源遍布全球而公司并未部署专业抗DDoS设备。此时在华三交换机上快速配置静态黑洞路由可能是拯救业务系统的最后防线。本文将基于真实攻防场景详解如何用5条核心命令构建精准流量过滤器。不同于基础教程我们特别聚焦攻击IP指纹识别如何从海量流量中提取特征IP段最小化误杀业务IP白名单保护机制临时策略撤销攻击停止后的自动化清理方案1. 攻击特征分析与目标IP锁定面对DDoS攻击首要任务是确定需要丢弃的流量特征。通过华三交换机的display interface命令观察入站端口流量H3C display interface GigabitEthernet 1/0/24 GigabitEthernet1/0/24 current state: UP Last 300 seconds input: 94567234 packets/sec, 9872Mbits/sec当发现某个端口输入流量异常激增时使用display packet-filter进行深度包检测H3C display packet-filter statistics interface GigabitEthernet 1/0/24 UDP packets: 98.7% of total Source IP ranges: 45.148.10.0/24: 62% 185.239.0.0/16: 28%关键决策矩阵判断维度合法业务流量可疑攻击流量协议类型TCP/HTTP/HTTPSUDP/DNS/NTP源IP分布已知客户IP段陌生国际IP段包大小平均1.5KB固定1500字节请求频率50-100次/秒5000次/秒注意建议先对可疑IP段做tcpdump抓包验证避免误判tcpdump -i GE1/0/24 host 45.148.10.1 -w /tmp/debug.pcap2. 华三交换机黑洞路由配置实战确认攻击特征后通过SSH登录交换机执行应急操作。以下是经过实战验证的命令序列# 进入系统视图 H3C system-view [H3C] # 配置/32位精确黑洞路由针对单个攻击IP [H3C] ip route-static 45.148.10.1 255.255.255.255 NULL0 preference 254 # 配置/24段批量黑洞针对整个攻击网段 [H3C] ip route-static 45.148.10.0 255.255.255.0 NULL0 preference 254 tag 6666 # 保存配置到启动文件 [H3C] save force参数解析preference 254设置低优先级确保动态路由优先tag 6666添加标记便于后续批量管理NULL0虚拟丢弃接口不消耗CPU资源3. 业务保护与误杀预防机制直接丢弃整个IP段可能影响正常用户建议采用分级防护策略核心业务IP白名单保护# 创建ACL保护列表 [H3C] acl number 2000 [H3C-acl-basic-2000] rule permit source 192.168.1.100 0 [H3C-acl-basic-2000] rule permit source 10.0.0.0 0.255.255.255 # 应用ACL到路由策略 [H3C] route-policy BLACKHOLE deny node 10 [H3C-route-policy] if-match acl 2000动态路由优先原则# 查看路由表确认优先级 H3C display ip routing-table 45.148.10.1 Destination/Mask: 45.148.10.1/32 NextHop: 0.0.0.0 Preference: 254 Interface: NULL0 Protocol: Static模拟测试验证# 使用测试IP验证策略 [H3C] ping -a 192.168.1.100 45.148.10.1 PING 45.148.10.1: 56 data bytes, press CTRL_C to break Request time out # 符合预期4. 攻击缓解后的策略清理当监控显示流量恢复正常后需要及时清理临时规则# 查看当前所有黑洞路由 H3C display ip routing-table protocol static | include NULL0 # 按标记批量删除使用之前设置的tag 6666 [H3C] undo ip route-static 45.148.10.0 255.255.255.0 NULL0 tag 6666 # 确认业务恢复情况 [H3C] ping 45.148.10.1 count 5 Reply from 45.148.10.1: bytes56 time28ms TTL54 # 连通性恢复自动化清理方案# 创建定时自动删除任务示例2小时后执行 [H3C] scheduler job BLACKHOLE_CLEAN [H3C-job-BLACKHOLE_CLEAN] command 1 undo ip route-static 45.148.10.0 255.255.255.0 NULL0 [H3C] scheduler schedule AT_04:00 [H3C-schedule-AT_04:00] job BLACKHOLE_CLEAN [H3C-schedule-AT_04:00] time at 04:00实际运维中发现约70%的DDoS攻击持续时间不超过6小时。建议配合NetStream或sFlow流量分析在攻击特征消失后立即触发自动清理脚本避免长期保留黑洞路由导致潜在业务影响。