Cloudflare Docs
Support
Support
Visit Support on GitHub
Set theme to dark (⇧+D)

了解 Cloudflare Network Analytics v1

了解 Magic Transit 和 Cloudflare Spectrum 客户如何使用帐户级 Network Analytics 来探索第 3 层和第 4 层流量和 DDoS 攻击详情。

​​ 本文内容


​​ 概述

访问 Network Analytics 具有以下要求:

Cloudflare Network Analytics 视图提供对网络层和传输层流量模式及 DDoS 攻击的近实时洞察能力。Network Analytics 可视化呈现数据包和位级别的数据,与通过 GraphQL Analytics API 提供的数据相同。

分析面板显示每个类型的数据包摘要

Network Analytics 可以加快恶意流量的报告和调查。您可以按照以下参数来过滤数据:

  • Cloudflare 采取的缓解措施
  • 来源 IP、端口、ASN
  • 目的地 IP 和端口
  • 观察流量的 Cloudflare 数据中心所属的城市和国家/地区
  • 攻击规模、类型、速率和持续时间
  • TCP 标志
  • IP 版本
  • 协议

使用 Network Analytics 来快速识别重要情报:

  • 针对网络的热门攻击手段
  • 不同时间的流量缓解,按操作细分
  • 攻击来源,按国家/地区或数据中心细分

​​ 查看网络分析

您可以从 Cloudflare 帐户的主页中访问 Network Analytics 视图。

若要访问 Network Analytics 视图,请按照下列步骤操作:

  1. 登录您的 Cloudflare 帐户。
  2. 如果您拥有多个帐户,请选择有权访问 Magic Transit 或 Spectrum 的帐户。
  3. 在帐户的主页中,单击 Network Analytics

​​ 标题摘要和侧面板

标题和侧面板提供时间范围下拉列表中所选时间段的活动摘要。

标题和侧面板汇总过去 24 小时的活动情况

标题提供数据包或比特总数,以及检测到并缓解的攻击次数。如果有攻击正在进行当中,标题会显示数据包(或比特)最大速率,而不是总数。

要切换数据视图,可单击数据包侧面板。

​​ 设置视图的时间范围

使用时间范围下拉列表来更改 Network Analytics 显示数据的时间范围。选择时间范围后,整个视图将会更新以反映您的选择。

当您选择_最近 30 分钟_ 时,Network Analytics 视图会显示最近 30 分钟的数据,并且每 20 秒刷新一次。统计信息下拉列表旁边会显示_实时_通知,告诉您视图会不断自动更新:

Network Analytics 中已启用自动刷新

如果选择_自定义范围_ 选项,您可以指定最长 30 天的时间范围,这个时间范围可位于过去 365 天中的任意时间段。

​​ 根据平均速率或总量来查看

从下拉列表中选择一个统计信息,以切换绘制_平均速率_和_总计数_图表。 

​​ 显示 IP 前缀广告/撤消事件

启用显示注释切换开关,以在 Network Analytics 视图中显示或隐藏已广告/撤销的 IP 前缀事件的注释。点击各个注释了解详情。

用于在 Network Analytics 图表中显示注释的开关按钮

​​ 放大至“数据包”摘要

在图表的某个区域上点击并拖动鼠标以进行放大。使用此技巧时,您可以放大到短至 3 分钟的时间范围。

放大至“数据包”摘要

要放大图表,可单击时间范围选择器中的 X 图标。


​​ 对数据应用过滤器

您可以应用多个过滤器和排除项,来调整 Network Analytics 中显示的数据范围。

过滤器会作用于 Network Analytics 页面中显示的所有数据。

您可以通过两种方法来过滤网络分析数据:使用添加过滤器按钮,或单击某一个统计过滤器

​​ 使用“添加过滤器”按钮

单击添加过滤器按钮,以打开新建过滤器弹出窗口。指定字段、运算符和值,以完成过滤器表达式。单击应用以更新视图。

应用过滤器时,请遵循以下准则:

  • 不支持通配符。
  • 不需要将值用引号括起。
  • 指定 ASN 编号时,请省略 AS 前缀。例如,请输入 1423,而不是 AS1423

​​ 使用统计过滤器

要基于与 Network Analytics 统计信息之一相关联的数据类型进行过滤,请使用指针悬停在统计信息上时显示的过滤排除按钮。

在这个示例中,单击过滤按钮会将视图范围缩小到仅与 Allow 操作关联的流量。

​​ 从应用的筛选器中创建 Magic Firewall 规则

您可以创建一个 Magic Firewall 规则,以阻止与 Network Analytics 中选定的筛选器匹配的所有流量。目前支持的筛选器有:

  • 目的地 IP
  • 协议
  • 来源数据中心
  • 来源 IP
  • TCP 标志

其他类型的 Network Analytics 筛选器不会添加到新的规则定义中,但您可以在 Magic Firewall 中进一步配置该规则。

请执行下列操作:

1. 在 Network Analytics 中应用一个或多个筛选器。

2. 点击创建 Magic Firewall 规则

Network Analytics 中的“创建防火墙规则”链接

Magic Firewall 规则编辑器显示了选定的筛选器和值。

3. 在 Magic Firewall 规则编辑器中检查规则定义。

4. 点击新建

​​ 支持的过滤器字段、运算符和值

下表显示了可用于过滤 Network Analytics 数据的各种字段、运算符和值。

字段运算符价值
操作

|

等于

不等于

|

- 允许:允许通过 Cloudflare 自动化 DDoS 保护系统的流量。还可能包括通过防火墙规则、flowtrackd 和 L7 规则缓解的流量。

- 阻止:被 Cloudflare 自动化 DDoS 保护系统阻止的流量。

- 连接跟踪:仅适用于 L7,因为 Magic Transit 被排除在范围之外,而且连接跟踪模块也从未针对 Magic Transit 前缀运行。

- 速率限制:可以针对每个来源 IP、子网或任何连接应用。其决策根据试探法以编程方式做出。

- 监控:已识别出但选择只是简单观察而不用任何规则缓解的攻击。

| |

攻击 ID

|

等于

不等于

|

攻击编号

| |

攻击类型

|

等于

不等于

|

UDP 洪水

SYN 洪水

ACK 洪水

RST 洪水

LDAP 洪水

圣诞节洪水

FIN 洪水

GRE 洪水

ICMP 洪水

| |

目的地 IP

|

等于

不等于

|

IP 地址

| |

目的地端口

|

等于

不等于

大于

大于或等于

小于

小于或等于

|

端口号

端口范围

| |

目的地 IP 范围

|

等于

不等于

|

IP 范围和掩码

| |

IP 版本

|

等于

不等于

|

4 或 6

| |

协议

|

等于

不等于

|

TCP

UDP

ICMP

GRE

| |

来源 ASN

|

等于

不等于

|

AS 编号

| |

来源国家/地区

|

等于

不等于

|

国家/地区名称

| |

来源数据中心

|

等于

不等于

|

数据中心位置

| |

来源 IP

|

等于

不等于

|

IP 地址

| |

来源端口

|

等于

不等于

大于

大于或等于

小于

小于或等于

|

端口号

端口范围

| |

TCP 标志

|

等于

不等于

包含

|

SYN、SYN-ACK、FIN、ACK、RST

|


​​ 选择要绘图的维度

您可以沿着各种维度来绘制 Network Analytics 数据的图表。默认情况下,Network Analytics 会显示按操作细分的数据。

选择其中一个摘要选项卡,以查看不同维度的数据。

跨越多个维度直观呈现数据

您可以从以下选项中选择:

  • 操作
  • 攻击类型
  • 目的地 IP
  • 目的地端口
  • IP 版本
  • 协议
  • 来源 ASN
  • 来源国家/地区
  • 来源数据中心
  • 来源 IP
  • 来源端口
  • TCP 标志

​​ 共享 Network Analytics 过滤器

在 Network Analytics 页面中添加过滤器并指定时间范围时,URL 会更改以反映这些参数。

要共享您的数据视图,请复制 URL 并将其发送给其他用户,这样他们就能使用同一个视图。

选择 Network Analytics 页面的 URL

​​ 查看活动日志

Network Analytics 活动日志显示当前选定时间范围内最多 500 个日志事件,每个时间范围视图中每页显示 10 个结果。(GraphQL Analytics API 没有此限制。)

要显示事件详情,请点击与事件关联的扩展小部件。

​​ 配置列

要配置活动日志中显示哪些列,可单击编辑列按钮。

当您希望识别 DDoS 攻击时,此功能特别有用。在过程当中,您可以指定所需的属性,例如 IP地址、最大比特率和攻击 ID 等。

​​ 查看排行榜

源国家/地区目的地面板中显示各个视图中排名在前的项目。

若要选择显示的项目数,请使用与视图关联的下拉列表。

要查看排名在前的数据中心,请从源国家/地区视图的下拉列表中选择_数据中心_。源数据中心视图将取代源国家/地区视图。


​​ 导出日志数据和报告

​​ 导出活动日志数据

一次最多可以从活动日志中导出 500 个源事件。如果需要将 Cloudflare 数据与存储在其他系统或数据库(例如安全信息与事件管理系统(SIEM))中的数据进行合并和分析,您可以使用这个选项。

要导出日志数据,可单击导出

选择 CSV 或 JSON 格式,以呈现导出的数据。下载的文件名将反映所选的时间范围,格式如下:

network-analytics-attacks-[开始时间]-[结束时间].json

​​ 导出 Network Analytics 报告

要从 Network Analytics 中打印或下载快照报告,请按照以下步骤操作:

单击打印报告。Web 浏览器的打印界面中显示用于打印或另存为 PDF 的选项。


​​ 局限性

Network Analytics 目前具有以下限制:


​​ 相关资源


​​ 常见问题

​​ Cloudflare 在 Network Analytics 门户网站中将数据保留多久时间?

如果您使用的是 Network Analytics v2 (NAv2),您可以查询的历史数据范围是 90 天

Network Analytics v1 (NAv1) 使用 GraphQL 节点将数据汇总为 1 分钟、1 小时和 1 天 IP 流。例如,ipFlows1mGroups 节点存储以分钟为单位聚合的数据。

要确定在 NAv1 中您可以查询的历史数据范围,请参考以下表格。notOlderThan 列可用作保留时间指标。

| GraphQL 数据节点

|

maxDuration*

|

notOlderThan**

|

Network Analytics 中的时间范围选择

|

数据点数量

ipFlows1mGroups

|

25 小时

|

30 天

|

30 分钟

|

30

| |

6 小时

|

71

| |

12 小时

|

48

| |

24 小时

|

96

| |

ipFlows1dGroups

|

6 个月

|

1 年

|

1 周

|

168

| |

1 个月

|

30

|

*maxDuration 定义可在一个查询中请求的时间窗口(因数据节点而异)。

**notOlderThan 限制查询可以搜索的记录时间范围。它指示数据在我们数据库中保留了多长时间。

在操作仪表板中的攻击日志时,请记住以下几点:

  • 攻击日志中会存储开始和结束时间戳,最小、最大和平均数据速率的数据包和比特数统计信息,以及总数、攻击类型和采取的操作。
  • 来源 IP 地址被视为个人个识别信息。因此,Cloudflare 仅将它们存储 30 天。30 天后,来源 IP 地址会被丢弃,并且日志将先汇总为 1 小时分组,然后汇总为 1 天分组。1 小时汇总将存储 6 个月,1 天汇总则存储 1 年。

如需有关查询和访问日志数据的更多信息,请参考 GraphQL Analytics API

​​ 为什么 Network Analytics 表示目的地 IP 的状态是“不可用”?

当目的地 IP 没有包含在 DDoS 保护系统生成的实时签名中时,该目的地 IP 就会显示为_不可用_。

若要查看目的地 IP,请按攻击 ID 过滤,然后滚动到顶部项目列表的目的地部分。对某个特定的攻击 ID 进行过滤时,整个 Network Analytics 仪表板就变成了一份攻击报告。