华为云用户手册

附录1-Q850原因值说明 原因值 原因值描述 0 不涉及 1 无法找到号码 2 无法路由到网络 3 无法路由到目的地 4 发送特殊消息 5 中继前缀出错 6 通道无法接入 7 已经建立频道 8 抢先占有 9 抢先占有保留 16 正常呼叫清除 17 用户忙 18 无应答 19 无用户应答 20 用户不可及 21 拒绝呼叫 22 号码已改变 23 重定向 25 交换路由错误 26 无用户准许 27 目标无序 28 非法号码格式 29 设备拒绝 30 状态查询 31 正常 34 路由不可达 38 网络状态不好 39 服务链接不上 40 链接进行中 41 暂时失败 42 设备拥塞 43 信息丢弃 44 通道无法接入 46 呼叫阻塞 47 无可用资源 49 品质无效 50 设备没预订 53 闭合群OCB呼出受限 55 闭合群ICB呼入受限 57 无权限发送 58 发送无效 62 等级不一致 63 服务无效 65 发送无法执行 66 通道无法执行 69 设备无效 70 发送有效 79 CV服务没设置 81 引用非法值 82 通道不存在 83 ID不存在 84 呼叫ID不存在 85 无呼叫等待 86 隐藏号码呼叫 87 CUG无成员 88 目标冲突 90 CUG不存在 91 无效网络 95 无效信息 96 非托管元素 97 类型不存在 98 信息没执行 99 信息单元不存在 100 无效的信息单元 101 呼叫状态不一致 102 定时器超时 103 参数不存在 110 消息中带有未识别的参数 111 协议错误 127 未指定的交互 父主题： 附录

通话挂机原因值说明 通话挂机原因值 原因值描述 0 接通后主动挂机 7001 开发者呼叫频次管控 7002 应用呼叫频次管控 7003 固话号码呼叫频次管控 7004 被叫黑名单呼叫管控 7108 用户状态已冻结 7109 语音端口不足 8000 内部错误 8001 用户未接续成功，可能包含以下场景： 开发者/应用/固话号码呼叫频次管控：若使用的是95号码，请重新申请固话，（流程：请先添加应用，再参考添加企业完善企业信息，最后参考订购号码申请固话号码）。其他情况请联系华为云客服处理 线路故障/运营商故障：请拨打400电话联系华为云客服处理 被叫关机/无应答/用户正忙等：请核实被叫手机终端是否处于正常状态 8002 接续用户时对端返回失败放音 8003 用户振铃超时 8004 用户振铃时挂机 8005 TTS 转换失败 8006 放音文件不存在 8007 给用户放音失败 8008 给用户放音收号失败，请在语音通知内容播放完毕后的5秒之内进行收号操作 8009 接通前主叫用户主动挂机 8010 超过通话最大时长挂机 8012 无效的app_key 8015 给用户录音失败 8017 用户指示挂机 8018 业务无权限 8020 业务异常 8100 被叫号码不存在 8101 被叫无应答 8102 被叫用户正忙 8103 被叫用户暂时无法接通 8104 被叫已关机 8105 被叫挂机或被叫已停机 父主题： 附录

API请求地址 API请求地址由“APP接入地址”和“访问URI”组成，数据来源如下： 参数 来源 示例 APP接入地址 登录管理控制台，从语音通话“应用管理”页面获取。 https://rtccall.cn-north-1.myhuaweicloud.cn:443 访问URI 从各API接口页面中的“接口类型说明”中获取。 语音回呼场景API：/rest/httpsessions/click2Call/v2.0 综上，API请求地址示例如下： 设置语音回呼： https://rtccall.cn-north-1.myhuaweicloud.cn:443/rest/httpsessions/click2Call/v2.0

API列表 API名称 API功能 语音回呼场景API 主叫用户通过应用拨打被叫用户，语音通话平台呼叫主叫和被叫，使主叫和被叫能够互相通话。 终止呼叫场景API 实现通话双方终止呼叫。 语音回呼呼叫状态通知API 语音通话平台向SP推送接收语音通话业务用户呼叫时的状态信息，如呼入、呼出、振铃、应答、挂机等状态的信息。 语音回呼话单通知API 通话结束后，语音通话平台向SP推送通话的话单信息。 获取录音文件下载地址API 获取通话后的录音文件下载地址。

概述 欢迎使用语音通话服务（VoiceCall）。语音通话服务以云服务的方式提供语音通信能力，支持语音回呼、语音验证码、语音通知。方便快捷，拨通率高；安全可靠，防盗取，防攻击；性能稳定，支持大容量、高并发 本文档提供了语音通话API的描述、参数说明及示例等内容。支持的全部操作请参见API接口使用说明。 在调用API之前，请确保已经充分了解语音通话相关概念及功能详解，详细信息请参见语音通话“产品介绍”。 录音功能涉及个人用户通信内容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程中，您应采取足够的措施以确保用户的通信内容受到严格保护。 录音功能会涉及用户的通信内容，请确保更换的录音提示音满足当地法律法规的要求。

结果码说明 请根据以下结果码进行调测，如果有疑问，可联系管理员进行确认。 表7 响应结果码 响应码 结果码 英文描述 中文描述 处理方法 301 - - - 成功响应，请从Location头域中获取录音文件下载地址。 400 1023006 Authorization not contained in the HTTP header. HTTP消息头未找到Authorization字段。 请检查HTTP消息头中是否携带了Authorization字段。 1023007 realm not contained in Authorization. Authorization字段中未找到realm属性。 请检查Authorization字段中的是否携带了realm属性。 1023008 profile not contained in Authorization. Authorization字段中未找到profile属性。 请检查Authorization字段中的是否携带了profile属性。 1023009 The value of realm in Authorization must be SDP. Authorization中realm属性值应该为“SDP”。 请检查Authorization字段中的realm属性值是否为“SDP”。 1023010 The value of profile in Authorization must be UsernameToken. Authorization中profile属性值应该为“UsernameToken”。 请检查Authorization字段中的profile属性值是否为“UsernameToken”。 1023011 The value of type in Authorization must be app_key. Authorization中type属性值应该为“Appkey”。 请检查Authorization字段中的type属性值是否为“Appkey”。 1023012 type not contained in Authorization. Authorization字段中未找到type属性。 请检查Authorization字段中是否携带了type属性。 1023033 HTTP header not found X-AKSK field. HTTP头未找到X-AKSK字段。 请检查HTTP消息头中是否携带了X-AKSK字段。 1023034 UserName not contained in X-AKSK. X-AKSK字段中未找到UserName属性。 请检查X-AKSK字段中的是否携带了Username属性。 1023035 Nonce not contained in X-AKSK. X-AKSK字段中未找到Nonce属性。 请检查X-AKSK字段中的是否携带了Nonce属性。 1023036 Created not contained in X-AKSK. X-AKSK字段中未找到Created属性。 请检查X-AKSK字段中的是否携带了Created属性。 1023037 PasswordDigest not contained in X-AKSK. X-AKSK字段中未找到PasswordDigest属性。 请检查X-AKSK字段中的是否携带了PasswordDigest属性。 1023038 UsernameToken not contained in X-AKSK. X-AKSK中没有携带UsernameToken。 请检查X-AKSK字段中的是否携带了UsernameToken属性。 401 1010010 Invalid digest. PasswordDigest校验失败。 请检查PasswordDigest字段填写是否正确。 1010013 Time out limit. 时间超出限制。 请确认X-AKSK鉴权时，生成随机数的时间与发送请求时的本地时间不能相差太大（具体差值请与管理员确认）。 403 1010002 Invalid request. 非法请求。 请检查请求携带的参数格式是否都合法。 1010003 Invalid app_key. 无效的app_key。 检查请求携带的app_key是否填写正确，app_key从应用管理页面获取，若填写正确，请在应用管理页面检查请求携带的app_key所属应用状态是否正常。 1010007 The ativeState of User is not ACTIVATING. 用户状态未激活。 请检查app_key所属的华为云账户是否处于欠费状态，若处于欠费状态，请参考华为云账户充值完成充值，若没有处于欠费状态，请联系管理员处理。 1012012 Application does not open recording function. 应用未开启录音功能。 请确认请求携带的app_key是否开启了录音功能。 1012007 The record does not exist. 记录不存在。 请确认fileName参数的填写是否正确。 1011006 Under traffic control status 请求者（IP、手机号码）处于流控状态下。 请稍等一分钟再试。 1020166 The app client ip is not in ip white list. 请求发送方app IP不在白名单列表中。 联系管理员检查IP白名单是否配置正确。 1020176 Authentication failed, try again later 鉴权失败，稍后重试 IP因鉴权失败次数过多导致被拉黑，请30分钟后重试，或联系管理员放通该IP。 500 1010001 Internal system error. 系统错误。 请联系管理员处理。 1023001 Internal error. 内部错误。

接口示例 请求示例 GET /rest/provision/voice/record/v1.0? fileName=1200_366_0_20161228102743.wav&recordDomain=huawei HTTP1.1 content-type: application/json;charset=UTF-8authorization: AKSK realm="SDP",profile="UsernameToken",type="Appkey"x-aksk: UsernameToken Username="ZRBRz4bAXoFgEH7o4Ew308eXc1RA",PasswordDigest="****",Nonce="ac1c911c4792492687f8f6b2264a491e",Created="2018-05-26T00:35:30Z"content-length:xx 响应示例 HTTP/1.1 301 Moved Permanently Location: **** Connection: close Content-Length: 0

请求参数 表2 请求URL参数说明 参数名称 是否必选 参数类型 默认值 说明 fileName 是 String(1-128) 无 录音文件名。通过“呼叫状态和话单通知API”的recordObjectName参数获取。 recordDomain 是 String(1-128) 无 录音文件存储的服务器 域名 ，通过“呼叫状态和话单通知API”的recordDomain参数获取。 表3 请求Headers参数说明 参数名称 是否必选 参数类型 说明 Content-Type 是 String 固定填写为application/json;charset=UTF-8。 Authorization 是 String 固定填写为AKSK realm="SDP",profile="UsernameToken",type="Appkey"。 X-AKSK 是 String 取值为UsernameToken Username="APP_Key的值", PasswordDigest="PasswordDigest的值", Nonce="随机数", Created="随机数生成时间"。 PasswordDigest：根据PasswordDigest = Base64 (HMAC-SHA256 (Password，Nonce + Created))生成。其中，Password为APP_Secret的值。Nonce、Created、Password直接进行字符串拼接即可，无需包含+号和空格。 Nonce：客户发送请求时生成的一个随机数，长度为1~128位，可包含数字和大小写字母。例如：66C92B11FF8A425FB8D4CCFE0ED9ED1F。 Created：随机数生成时间。采用标准UTC格式，例如：2018-02-12T15:30:20Z。不同编程语言中将UTC时间戳转换为普通时间时使用的格式不同，部分语言可参考表4。 表4 不同编程语言的时间格式 编程语言 时间格式 Java yyyy-MM-dd'T'HH:mm:ss'Z' PHP Y-m-d\TH:i:s\Z Python %Y-%m-%dT%H:%M:%SZ C# yyyy-MM-ddTHH:mm:ssZ Node.js toISOString().replace(/.[0-9]+\Z/, 'Z') 注：Node.js中，使用toISOString()转换后的时间格式去除毫秒后即为本接口要求的时间格式。

使用说明 前提条件 已通过“应用管理”页面获取APP_Key，APP_Secret和APP接入地址。 已通过“呼叫状态和话单通知API”获取了录音文件名。 注意事项 响应返回的录音下载地址有效期为7天。请在七天期限内调用该接口获取下载地址并下载录音。 调用获取录音文件下载地址接口需要把connection设置为不支持重定向，再从Location头域中获取到录音文件的下载地址。 若connection设置为支持重定向，则重定向后平台返回的是录音文件的数据流。 使用限制 无。

API请求地址 API请求地址由“APP接入地址”和“访问URI”组成，数据来源如下： 参数 来源 示例 APP接入地址 登录管理控制台，从语音通话“应用管理”页面获取。 https://rtccall.cn-north-1.myhuaweicloud.cn:443 访问URI 从各API接口页面中的“接口类型说明”中获取。 语音通知API：/rest/httpsessions/callnotify/{version} 综上，API请求地址示例如下： 设置语音通知： https://rtccall.cn-north-1.myhuaweicloud.cn:443/rest/httpsessions/callnotify/{version}

API请求地址 API请求地址由“APP接入地址”和“访问URI”组成，数据来源如下： 参数 来源 示例 APP接入地址 登录管理控制台，从语音通话“应用管理”页面获取。 https://rtccall.cn-north-1.myhuaweicloud.cn:443 访问URI 从各API接口页面中的“接口类型说明”中获取。 语音验证码场景API：/rest/httpsessions/callVerify/v1.0 综上，API请求地址示例如下： 设置语音验证码： https://rtccall.cn-north-1.myhuaweicloud.cn:443/rest/httpsessions/callVerify/v1.0

Windows主机安全加固建议 设置安全组，仅向公网开放必要端口，业务WEB控制台端口、局域网内部通信端口避免暴露在公网。关闭高危端口（135，139，445），或限制允许访问端口的源IP。 应用程序不要以管理员权限账号运行，应用程序（如Web）不使用数据库管理员权限账号与数据库交互。 业务数据定期异地备份，避免黑客入侵主机造成数据丢失。 定期检测系统和软件中的安全漏洞，及时更新系统安全补丁，将软件版本升级到官方最新版本。 建议从官方渠道下载安装软件，对非官方渠道下载的软件，建议使用杀毒软件扫描后再运行。 不随意点开不明邮件链接或者网页链接。 请勿使用默认账户默认密码或弱密码。 设置所有OS系统口令（包括管理员和普通用户）、数据库账号口令、WEB应用系统管理账号口令为强口令 ，密码12位以上。 提升安全性的方法： 不使用空口令或系统缺省的口令，因为这些口令很容易被攻击者进入甚至不需要任何成本，为典型的弱口令。 设置高长度&高复杂度字符口令。 口令不要设置连续的某个字符（例如：AAAAAAAA）或重复某些字符的组合（123123）。 口令使用复杂组合，如大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。 口令中尽量不要包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等与本人有关的信息，以及字典中的单词。 口令不应该为用数字或符号代替某些字母的单词，例如，passwd。 定期更换口令。 口令中不建议出现huawei字样或者带有键盘特征（例如：123qwe!@#，passwd）的密码。 父主题： 排查过程

垃圾邮件有哪些危害？ 电子邮件是当今社会的重要沟通工具之一，如果垃圾邮件泛滥将会对社会的稳定与发展产生严重影响： 降低通信质量：垃圾邮件占用大量网络带宽，影响网络传输速度，容易造成邮件服务器堵塞。 损害收件人利益：垃圾邮件常常包含隐蔽性极强的钓鱼信息，容易导致收件人的信息泄露，进而可能造成收件人被诈骗或商业机密被窃取，而且垃圾邮件反复性强、传播速度快，会耗费收件人大量的时间和金钱进行处理。 散布有害信息：垃圾邮件易被用于传播谣言、色情等有害信息，影响社会治安。

什么是勒索病毒 勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击，将会使绝大多数的关键文件被加密。被加密的关键文件无法通过技术手段解密，用户将无法读取资产中的文件，即使向黑客缴纳高昂的赎金，也不一定能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金，一般无法溯源。 如果关键文件被加密，企业业务将受到严重影响；黑客索要高额赎金，也会带来直接的经济损失，因此，勒索病毒的入侵危害巨大。 勒索病毒具有传播方式多样性和顽固的攻击性特征，一旦被勒索病毒入侵，资产和经济都将遭受重大损失。

Linux主机安全加固建议 设置所有OS系统口令（包括管理员和普通用户）、数据库账号口令、应用（WEB）系统管理账号口令为强口令，密码12位以上。强口令设置请参见账户密码最佳实践。 将主机登录方式设置为密钥登录。密钥登录设置请参见主机密码被暴力破解的解决方案。 应用程序不以管理员权限账号运行，应用程序（如Web）不使用数据库管理员权限账号与数据库交互设置安全组，仅向公网开放必要端口，业务WEB控制台端口、局域网内部通信端口避免暴露在公网。关闭高危端口（如SSH端口），或采取限制允许访问端口的源IP、使用VPN/ 堡垒机 建立的运维通道等措施消减风险。 业务数据定期异地备份，避免黑客入侵主机造成数据丢失。 定期检测系统和软件中的安全漏洞，及时更新系统安全补丁，将软件版本升级到官方最新版本。 建议从官方渠道下载安装软件，对非官方渠道下载的软件，建议使用杀毒软件扫描后再运行。 为彻查主机和应用方面潜在的安全风险，建议使用华为云官方提供的管理检测与响应服务进行全面的安全体检或使用主机安全服务深度防御： 管理检测与响应服务请参见：https://www.huaweicloud.com/product/ses.html。 企业主机安全 服务请参见：https://www.huaweicloud.com/product/hss.html。 父主题： 主机安全排查（Linux操作系统）

什么是挖矿 数字货币因其技术去中性化和经济价值等属性，逐渐成为大众关注的焦点，同时，通过恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径。 其中，挖矿是指通过大量计算机运算获取数字货币-虚拟货币奖励的过程。恶意挖矿攻击就是在用户不知情或未经允许的情况下，占用受害者的系统资源和网络资源进行挖矿，从而获取加密货币牟利。 肉鸡也称傀儡机，是指可以被黑客远程控制的机器。肉鸡可以是各种系统，如Windows、Linux、Unix等，更可以是一家公司、企业、学校甚至是政府军队的服务器。 主机被挖矿最直接的影响就是大量消耗系统资源，使系统其他软件或服务运行缓慢，性能变差。同时，黑客还可能通过挖矿程序窃取机密信息，比如机密文件、关键资产的用户名和密码等，导致资产遭受更进一步的损失。

常用命令 命令 作用 cd 切换目录。 当前目录：【./】(同级目录)可省略 上一级目录：【../】 上上一级目录：【../../】 dir /a:（磁盘） 缺省包含所有文件（系统文件.隐含文件） more 分屏显示文件内容 tasklist 查看进程 netstat -ano 查看链接 wmic startup list full 查看自启 net user 查看用户 示例： 查找D:\Apps\下，包含“DR”的文件： dir /a-d /s "D:\Apps\IDE" | findstr "DR" 查找C盘下，包含“exe”的文件和目录：dir /s C: | findstr "exe"

解决方案&防护措施 针对UDP反射放大攻击方式，您可根据业务的实际情况做出应对措施，下面提出几点建议性防护措施，供您参考。 关注网络安全防护设备和服务厂商发布的最新安全公告，及时对此类攻击做出针对性防护策略。 云服务器内通过防火墙对UDP端口进行限制。 通过安全组对UDP端口进行限制，华为云用户可参见E CS 配置安全组规则。 启动绑定本地监听IP，禁止对外访问、禁用UDP协议、启用登录认证。 调整应用程序中的一些参数，并且重启服务器达成禁用UDP的效果。 通过对业务历史报文数据的统计学习，建立正常业务包大小的正态分布图，由此可以清晰识别出超大或超小包攻击报文。 父主题： UDP反射放大攻击安全排查

整改建议 针对不同的投诉类型，华为云会实施不同的风险遏制措施。 您可以打开反垃圾邮件组织地址，输入您的IP，单击“Start Testing”，查询有无IP记录，判断是否为反垃圾邮件组织的投诉，如图 反垃圾邮件组织所示，然后做出对应情况的处理。 图1 反垃圾邮件组织 如果页面未显示任何IP记录并停留在初始页面，表示非反垃圾邮件组织投诉。 请您尽快停止使用该IP地址的主机发送垃圾邮件，并对邮箱做好防护，防止他人恶意利用。若未在预警邮件规定的时间内整改完成，您的资源将会面临被拦截限制（包括但不限于封禁端口、冻结IP）的风险。 如果页面显示有您的IP记录，表示是反垃圾邮件组织投诉。 反垃圾邮件组织已将您的IP列入黑名单，会限制绑定该IP地址的主机访问网站和对外发送邮件，请您尽快停止使用该IP地址的主机发送垃圾邮件，并对邮箱做好防护。 被反垃圾邮件组织拉黑，将严重损害华为云的服务形象，华为云将永久冻结您的IP且无法解冻。请重新绑定新的IP地址使用。

操作步骤 打开“TCPView”文件夹，双击“Tcpview.exe”文件，在弹出的对话框中，单击“Agree”。 查看当前TCP连接状态，判断该进程是否为木马程序。 如果发现存在不知名进程，并且存在大量的SYN_SENT状态的连接，该进程疑似为木马程序。 如果某个进程的连接的端口非常有规律（如6666，2333等），或者在RemoteAddress这一栏自动解析的host中包含mine，pool，xmr等关键字，该进程疑似被感染病毒。 （仅供参考）您可以通过安全检测网站，检测外网远程地址或者URL进行在线查询判断。 检测地址：https://x.threatbook.cn/ 微步检测IP：需要检测的网站IP。

操作步骤 查看主机是否存在异常进程。 查询命令：top 根据CPU占用率、进程名称等判断是否存在异常进程，如下可疑进程CPU占用率超过100%。 根据异常进程PID值，查看文件位置。 查询命令：lsof -p+进程PID值（如25267） 发现目录下的异常文件（带有xmr或mine的标识）。 查看文件命令：ll -art 查询木马路径：pwd 查询文件中是否存在异常地址：strings +文件名（如config.json）+ |grep xmr 建议重点排查以下目录：/etc为配置文件、/tmp为临时文件、/bin为可执行文件。 用户命令；用到的库文件可能在/lib，配置文件可能在/etc，/sbin为可执行文件。 管理命令；用到的库文件可能在/lib，配置文件可能在/etc，/usr/为只读文件，shared read-only，/usr/local为第三方软件） Linux命令大全请参见Linux命令大全。 发现疑似矿池信息，将URL（xmr.flooder.org:80）放到微步上检测，结果为矿池。 查看主机用户权限。 查询命令：cat /etc/passwd|grep +用户名（如bash） nologin的用户没有登录权限，此处需重点查看存在登录权限的用户。 根据主机登录日志文件，查看异常登录记录。 查询命令：cat +文件名（如 secure）|grep Acc|grep +用户名（如oracle） 根据成功日志寻找登录主机的习惯时间，需关注与木马植入相近的时间。 根据登录的时间关注是否有异常IP登录及登录的频次（包括成功或失败的次数），若异常IP登录次数多则疑似为爆破行为。 如果上述方法均不能解决您的疑问，请“提交工单”寻求更多帮助。

案例 以下为主机被端口扫描攻击的几个案例： 案例一： 此机器正在对外大量扫描6379端口，示例如图1所示。 图1 端口扫描 查询发现这些IP地址均为境外IP。 案例二： 主机内发现异常进程，如图2所示。 图2 异常进程 查询发现此IP地址连接C&C。 C&C是指command-and-control命令与控制。简单来说就是一种机器与机器之间的通讯方式。 C＆C服务器是由攻击者的计算机将命令发送到受恶意软件入侵的系统，并从目标网络接收被盗的数据。

排查方法 本章节内容主要指导您：排查主机是否被作为UDP反射攻击的“放大器”利用。 使用root账户登录服务器。 本例中，该服务器正常运行情况下每秒发送10个长度为800Byte的UDP数据包。 执行以下命令，查看当前的网络连接与进程。 netstat -anput 分析当前的网络连接与进程是否存在异常，建议利用netstat -anpt命令进行查看；若当前连接与进程已停止或被隐藏，可以利用抓包方式进行分析，需要安装tcpdump抓包工具。 执行以下命令抓包，分析UDP流量攻击。 tcpdump -nn udp 抓包结果如图1显示。 图1 UDP对外攻击数据包 执行以下命令，将抓包分析结果暂存至/home文件夹中，文件名为udp.pcap。 nohup tcpdump -nn udp -c 1000000 -w /home/udp.pcap & 执行以下命令，对抓包分析结果进行分析，结果如图2所示。 tcpdump -nn -r /home/udp.pcap|awk -F'.' '{print $1}'|sort|uniq -c 图2 抓包分析结果 根据步骤3可知，图中被检查的设备正在对另一个IP地址发送数十个UDP长度为1460Byte的数据包，明显超出正常业务数据包的范畴，说明该设备正在被利用为UDP反射攻击的“放大器”对外攻击。 通过步骤b可知，图中设备UDP连接次数每秒高达5万次以上，说明图中设备所提供的服务被攻击者利用实施UDP反射放大攻击，需要对设备采取必要的防护措施，避免设备资源被攻击行为占用，影响正常业务。 父主题： UDP反射放大攻击安全排查

DDoS攻击的原理 拒绝服务（Denial of Service，简称DoS）攻击也称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时，称为分布式拒绝服务攻击（Distributed Denial of Service Attack，简称DDoS）。

UDP反射放大攻击简介 UDP反射放大攻击，是一种具有超大攻击威力，且成本低廉，难以追踪的DDoS攻击方式。 基于UDP报文的反射DDoS攻击是这类攻击的一种实现形式，如图1所示。攻击者并不是直接发起对攻击目标的攻击，而是利用互联网的某些服务开放的服务器，通过伪造被攻击者的地址，向中间服务器发送基于UDP服务的特殊请求报文，而这些请求报文会形成成倍的数据发送到攻击目标，从而对后者间接形成DDoS攻击。 图1 UDP反射放大原理图

排查思路 本文档为您介绍两种Windows主机排查方法，推荐选择“工具溯源排查”的方法： 方案一：工具取证排查（推荐）：使用Windows官方的进程/链接/自启动分析工具进行排查。 使用工具取证排查方案时，建议如下软件工具： 表1 软件工具 工具名称 下载地址 ProcessExplorer https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer Tcpview https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview Autoruns https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns busybox-x86_64 https://busybox.net/downloads/binaries/1.16.1/busybox-x86_64 方案二：DOS系统命令排查：通过Windows主机DOS系统命令排查。 父主题： 主机安全排查（Windows操作系统）

Java客户端常见报错 未关闭域名校验 出现下图的错误信息： 解决方案：检查consumer.properties和producer.properties文件，ssl.endpoint.identification.algorithm参数必须设置为空，关闭域名校验开关。 ssl.endpoint.identification.algorithm= 加载SSL证书文件失败 出现下图的错误信息： 解决方案： 请检查对应地址的client.jks文件是否存在。 检查进程和文件所属权限。 检查consumer.properties和producer.properties文件中的ssl.truststore.password参数是否配置正确。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka ssl.truststore.password=dms@kafka Topic名称错误 出现下图的错误信息： 解决方案：用户重新创建Topic或者打开自动创建Topic开关。

分析过程 怀疑是业务堆积，处理慢导致时延。 通过查看监控数据，发现业务请求并不是很多，堆积最多时也只有50条消息，同时每秒新增消息只有10条左右，应该还没有到达处理极限。 排查EIP流量情况，发现入流量存在下降的场景。 联系EIP服务技术人员协助排查，未发现问题。 从业务日志中分析消费组行为。 通过查看服务端日志，消费组存在大量rebalance动作，大部分rebalance都会秒级完成，但偶尔会有分钟级别的rebalance耗时，而rebalance过程中是无法正常消费的，只有在rebalance动作完成才可以进行消费。 该现象与问题现象描述的偶现长时间时延行为相吻合，问题确定。

背景知识介绍 消费组可以简单认为有两种状态REBALANCING和STABILIZED。 REBALANCING：消费组元数据发生变化，该状态下消费组中的所有消费者都无法进行正常的业务消费，该场景触发场景为消费组内有新的消费者加入或有已经建立连接的消费者退出。 STABILIZED：rebalance完成，消费组处于稳定状态，该状态下消费组中的消费者可以进行正常的业务消费，触发条件是，当前消费组内的所有消费者都同步完成新的消费组元数据，包括之前已经同步过的消费者，也需要重新同步。 消费组简单流程如下： 有新的消费者加入或退出，服务端记录的消费组元数据更新，服务端更新消费组进入REBALANCING状态。 服务端等待所有消费者（包含已有的消费者）同步最新的元数据。 所有消费者同步完最新的元数据后，服务端更新消费组状态为STABILIZED。 消费者开始正常的消费业务。

问题解决措施 以下三种措施都可以解决此问题，请根据实际情况任意选择一种。 升级Kafka客户端的版本到2.7或以上版本，并设置“socket.connection.setup.timeout.ms”大于1s，且小于“request.timeout.ms/Kafka服务端节点数”。 修改Kafka客户端的“request.timeout.ms”大于“127s”。 修改Kafka客户端Linux系统的网络参数“net.ipv4.tcp_syn_retries”为“3”。