TLS和SSL流量很大

第一步：确认根本原因（区分威胁与异常）

• 检查防火墙CPU负载：通过display cpu-usage命令查看CPU使用率。如果CPU占用率非常高（比如超过80%），且与流量激增时间点吻合，那么安全威胁（如DDoS攻击）的可能性就比较大。

• 检查会话统计：使用display session statistics命令查看设备当前的会话总数、新建速率等关键指标，判断是否存在会话数远超日常峰值或新建速率异常陡增的情况。

第二步：定位具体来源（找到肇事者）

• 分析会话列表：这是定位问题最有效的方法。使用display session table命令查看当前所有活跃会话。重点关注Source IP/Port和Destination IP/Port字段：

  • IP分布：如果流量来源IP非常分散，甚至来源地域异常，则攻击可能性高。

  • 行为特征：如果观察到大量SYN_SENT状态的会话或连接异常中断，这往往是DDoS攻击的特征。

• 检查用户流量详情：如果怀疑是业务或配置问题，可以执行以下命令：

  • SSL VPN用户：使用display sslvpn session命令查看在线SSL VPN用户。如果存在大量VPN用户，并怀疑流量引流问题，需进一步检查VPN配置。

  • 所有用户：若怀疑是P2P下载等行为，可以通过更详细的流量分析手段，如启用NetStream或将日志发送到日志服务器（info-center loghost），来定位消耗流量的具体用户IP。

• 检查策略配置：如果怀疑是策略问题，可以检查SSL解密策略（display app proxy ssl）和负载均衡策略（display loadbalance）的相关配置，看是否存在不当设置。

 应对措施与行动指南

1. 紧急处置（如确认是DDoS攻击）

   • 立即联系ISP（互联网服务提供商）：及时通知你的运营商，他们能提供上游的流量清洗服务，从源头上阻断攻击。

   • 启用防御策略：联系H3C技术支持或在防火墙上启用流量限速、连接数限制等基础防护策略，以缓解攻击对设备自身的冲击。

2. 长期解决方案

   • 部署专业抗D设备：如果网络业务价值高，建议采购专业的DDoS防护设备或云清洗服务，构建更坚固的纵深防御体系。

   • 优化VPN配置：如果确认是SSL VPN的流量引流问题，可配置分离隧道（Split Tunnel） 模式，让客户端只将访问公司内网的流量经过VPN，访问互联网的流量则直接发出，从而大幅降低设备负载和网络延时。

   • 建立流量基线：建议定期监控网络，形成正常的流量模型，这样未来一旦出现异常，能更快地识别和响应。

一、正常情况（业务本身就这样）

1. 全网 HTTPS 普及
   网页、APP、小程序、网盘、视频现在几乎全是 TLS1.2/1.3
2. 视频 / 下载 / 云盘类业务
   抖音、快手、视频会议、网盘同步、系统更新
   → 加密流量瞬间打满很正常
3. 大量 HTTPS 代理、VPN
   员工用 SSL VPN、远程办公、企业云应用

二、异常情况（需要排查的典型问题）

1. 某台设备疯狂发包（最常见）

• 某台 PC / 服务器 中毒、木马、挖矿、远控
• 大量向外建立加密连接，疯狂上传下载
  表现：
• TLS/SSL 带宽占比异常高
• 单 IP 连接数、流量异常突出
• 上班时间 / 非业务时段流量依然很大

2. 被扫描、被 CC 攻击、爬虫刷接口

• 外部大量 HTTPS 请求刷网站接口
• 恶意爬虫、API 滥用
  表现：
• 外往内 TLS 流量巨大
• 新建连接数极高，单 IP 频繁建连

3. 备份 / 同步 / 更新跑满带宽

• 服务器备份走 HTTPS
• 大量终端同时系统更新、杀毒库更新
• 私有云、对象存储同步
  这种是合法但突发大流量。

4. P2P、直播、短视频跑满

• 员工上班刷视频、直播、网盘下载
• 加密流量，ACG 只能看到 TLS/SSL，看不清具体内容

5. 隧道类加密流量（翻墙 / 隧道工具）

• 用 TLS 伪装的翻墙工具、代理
• 流量特征就是持续大带宽、长连接、加密
  这在 ACG 里典型表现就是：
  TLS/SSL 占比极高，且难以识别具体应用。

三、在 ACG1000 上怎么快速定位

1. 应用识别里

   看 TLS/SSL 下面有没有细分出：
   • 视频类
   • 网盘类
   • 系统更新
   • 未知加密 / 代理隧道
2. 流量排名

   看哪个 IP 流量最大
   • 单 IP 占了总流量 50% 以上 → 基本就是异常主机
   • 大量 IP 均匀高 → 正常业务 / 视频
3. 连接数
   • 某 IP TCP 连接数几千上万 → 木马 / 攻击 / 代理
   • 连接数正常，只是带宽大 → 视频 / 下载 / 备份
4. 时间段
   • 上班时间大 → 员工行为 / 业务
   • 半夜依然巨大 → 自动同步、挖矿、木马、攻击

四、简单判断口诀

• TLS 大 + 少数 IP 占比极高 → 中毒 / 挖矿 / 代理
• TLS 大 + 很多 IP 均匀跑 → 视频 / 更新 / 正常业务
• TLS 大 + 半夜也跑满 → 自动备份、木马、爬虫
• TLS 大 + 应用识别几乎全未知 → 加密隧道 / 翻墙工具