Различия

Показаны различия между двумя версиями страницы.

--- dpi:dpi_options:opt_ddos:qoe_ddos [2026/02/16 09:15] – создано elena.krasnobryzh
+++ dpi:dpi_options:opt_ddos:qoe_ddos [2026/02/16 13:09] (текущий) – [7. Анализ атак] elena.krasnobryzh
@@ Строка 1: / Строка 1: @@
-{{indexmenu_n>2}}
+{{indexmenu_n>3}}
-======Настройка детектора DDoS на базе QoE======
+======Настройка детектора DDoS и BotNet на базе QoE======
 =====1. Обновление QoE=====
 **На сервере QoE.**
-Обновить QoE до последней версий как положено с остановкой ресиверов. Перед запуском ресиверов пропатчить КХ
+Обновить QoE до последней версии, предварительно остановив ресиверы. Перед запуском ресиверов пропатчить ClickHouse:
 <code>dnf --refresh install clickhouse-patched</code>
 Запустить ресиверы.
@@ Строка 11: / Строка 11: @@
 **На сервере GUI.**
-Обновить GUI до последней версии. Подключить  GUI к VAS Cloud, если еще не подключен. Выдать опцию лицензии aniddos.
+Обновить GUI до последней версии. Подключить GUI к VAS Cloud, если еще не подключен. Выдать опцию лицензии aniddos.
 В файле ''/var/www/html/dpiui2/frontend/env.js'' прописать опцию ''AppEnv.DDoSAttack_isVisible = 1;''
@@ Строка 17: / Строка 18: @@
 **На сервере QoE.**
-Установить пакет митигатора ''fastm_qoe'' на в все узлы:<code>dnf install fastm_qoe</code>
+Установить пакет митигатора ''fastm_qoe'' на все узлы:<code>dnf install fastm_qoe</code>
 Переключить версию python:<code>dnf install -y python39 python39-devel -y
@@ Строка 67: / Строка 68: @@
 =====6. Хранение метрик (логи DDoS атак)=====
-В веб-интерфейсе GUI настроить хранение сырых и агрегированных метрик, а также хранение сырого и агрегированно лога атак.
+В веб-интерфейсе GUI настроить хранение сырых и агрегированных метрик, а также хранение сырого и агрегированного лога атак.
-В разделе Администратор → Конфигурация GUI → QoE Stor: Настройки времени жизни БД задать значения параметрам:
+В разделе Администратор → Конфигурация GUI → QoE Stor: Настройки времени жизни БД задать следующие значения параметрам:
   * ''QOESTOR_FM_ATTACKS_MAIN_LOG_PARTITIONS_LIFE_TIME_HOUR'' = ''720''
   * ''QOESTOR_FM_ATTACKS_AGG_LOG_PARTITIONS_LIFE_TIME_DAYS'' = ''30''
@@ Строка 76: / Строка 77: @@
 {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?direct&1100|}}
+=====7. Анализ атак=====
+Обнаруженные атаки можно изучить в разделах DDoS атаки в QoE Анлитике.
+  - Начните с раздела "ТОП атак" за период 24 часа.\\ Отсортируйте атаки по количеству сессий, запишите себе несколько IP с наибольшим количеством сессиий.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?direct&700|}}
+  - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы
+  - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?direct&700|}}
+  - Посмотрите Лог атак\\ С фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать доп. выводы, чтобы принимать какие-либо решения.\\ Например, на скрине ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В данном случае достаточно поместить IP атакующего в отдельную АС и сделать ее drop.
+<note tip>Блокировка АС подробно описана в сценарии [[dpi:qoe_analytics:cases:network_health:flood#блокировка_ip_с_помещением_в_автономную_систему|Блокировка IP с помещением в автономную систему]]</note>
+{{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?direct&1100|}}\\