Различия

Показаны различия между двумя версиями страницы.

--- dpi:dpi_options:opt_ddos:qoe_ddos [2026/02/16 09:17] – elena.krasnobryzh
+++ dpi:dpi_options:opt_ddos:qoe_ddos [2026/02/16 13:09] (текущий) – [7. Анализ атак] elena.krasnobryzh
@@ Строка 1: / Строка 1: @@
-{{indexmenu_n>2}}
+{{indexmenu_n>3}}
-======Настройка детектора DDoS на базе QoE======
+======Настройка детектора DDoS и BotNet на базе QoE======
 =====1. Обновление QoE=====
 **На сервере QoE.**
-Обновить QoE до последней версий как положено с остановкой ресиверов. Перед запуском ресиверов пропатчить КХ
+Обновить QoE до последней версии, предварительно остановив ресиверы. Перед запуском ресиверов пропатчить ClickHouse:
 <code>dnf --refresh install clickhouse-patched</code>
 Запустить ресиверы.
@@ Строка 11: / Строка 11: @@
 **На сервере GUI.**
-Обновить GUI до последней версии. Подключить  GUI к VAS Cloud, если еще не подключен. Выдать опцию лицензии aniddos.
+Обновить GUI до последней версии. Подключить GUI к VAS Cloud, если еще не подключен. Выдать опцию лицензии aniddos.
 В файле ''/var/www/html/dpiui2/frontend/env.js'' прописать опцию ''AppEnv.DDoSAttack_isVisible = 1;''
@@ Строка 67: / Строка 68: @@
 =====6. Хранение метрик (логи DDoS атак)=====
-В веб-интерфейсе GUI настроить хранение сырых и агрегированных метрик, а также хранение сырого и агрегированно лога атак.
+В веб-интерфейсе GUI настроить хранение сырых и агрегированных метрик, а также хранение сырого и агрегированного лога атак.
-В разделе Администратор → Конфигурация GUI → QoE Stor: Настройки времени жизни БД задать значения параметрам:
+В разделе Администратор → Конфигурация GUI → QoE Stor: Настройки времени жизни БД задать следующие значения параметрам:
   * ''QOESTOR_FM_ATTACKS_MAIN_LOG_PARTITIONS_LIFE_TIME_HOUR'' = ''720''
   * ''QOESTOR_FM_ATTACKS_AGG_LOG_PARTITIONS_LIFE_TIME_DAYS'' = ''30''
@@ Строка 80: / Строка 81: @@
 Обнаруженные атаки можно изучить в разделах DDoS атаки в QoE Анлитике.
-  - Начните с раздела ТОП атак за период 24 часа.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?direct&900|}}\\ Отсортируйте атаки по количеству сессий. Запишите себе несколько самых жирных IP.
+  - Начните с раздела "ТОП атак" за период 24 часа.\\ Отсортируйте атаки по количеству сессий, запишите себе несколько IP с наибольшим количеством сессиий.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?direct&700|}}
-  - Посмотрите раздел ТОП атак по протоколам\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы
+  - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы
-  - Посмотрите раздел ТОП атакующих IP адресов\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?direct&900|}}\\ Также запишите себе несколько самых жирных IP.
+  - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?direct&700|}}
-  - Посмотрите Лог атак\\ С фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать доп. выводы, чтобы принимать какие-либо решения.\\ Например, на скрине\\{{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?direct&900|}}\\ явно видно, что идет перебор портов на одном и том же адресе по по  UDP протоколу. В данном случае достаточно поместить IP атакующего  в отдельную АС  и задропать ее..
+  - Посмотрите Лог атак\\ С фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать доп. выводы, чтобы принимать какие-либо решения.\\ Например, на скрине ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В данном случае достаточно поместить IP атакующего в отдельную АС и сделать ее drop.
+<note tip>Блокировка АС подробно описана в сценарии [[dpi:qoe_analytics:cases:network_health:flood#блокировка_ip_с_помещением_в_автономную_систему|Блокировка IP с помещением в автономную систему]]</note>
+{{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?direct&1100|}}\\