我们有一个ASR1000，我有以下 ACL，但昨天有人用大型 DDoS 攻击攻击了我们，我发现这是一次DNS amplification攻击。所以所有的源端口都为53，这绝对是一次碎片攻击。请参阅以下 NetFlow 数据。我看到路由器屏蔽了一些数据，但也有一些数据偷偷溜进来。总之，它击中了内部服务器。

问：为什么ACL没有阻止这次攻击？这里的ACL是如何处理分片报文的？第一个数据包包含端口信息，但以下碎片数据包是L3，那么防火墙如何处理它们。我们也有deny any any。

网络流量

Top 10 Src Port ordered by bps:
Date first seen          Duration Proto          Src Port    Flows(%)     Packets(%)       Bytes(%)         pps      bps   bpp
2016-10-26 10:06:42.898  1207.930 any                   0    64619(49.0)   68.6 M(49.8)   86.7 G(57.2)    56826  574.5 M  1263
2016-10-26 10:06:42.754  1420.227 any                  53    46718(35.4)   47.1 M(34.2)   61.8 G(40.7)    33153  348.2 M  1313

访问控制列表

ip access-list extended FOO-ACL
 permit udp any gt 1023 object-group VOIP-NET range 12000 13000
 permit udp any gt 1023 object-group SIP-NET eq 5060 
 permit udp object-group GOOGLE-DNS any
 permit tcp host any eq bgp host X.X.X.X
 permit icmp any object-group ICMP-NET echo-reply
 permit icmp any object-group ICMP-NET net-unreachable
 permit icmp any object-group ICMP-NET host-unreachable
 permit icmp any object-group ICMP-NET port-unreachable
 permit icmp any object-group ICMP-NET ttl-exceeded
 deny   ip any any