Различия

Показаны различия между двумя версиями страницы.

--- dpi:dpi_options:opt_ddos:qoe_ddos [2026/02/16 09:19] – [2. Обновление GUI] elena.krasnobryzh
+++ dpi:dpi_options:opt_ddos:qoe_ddos [2026/04/02 09:06] (текущий) – [4. Настройка детектора] elena.krasnobryzh
@@ Строка 1: / Строка 1: @@
-{{indexmenu_n>2}}
+{{indexmenu_n>3}}
-======Настройка детектора DDoS на базе QoE======
+======Настройка детектора DDoS и BotNet на базе QoE======
+Детектор позволяет автоматически контролировать исходящий и входящий трафик, выявлять DDoS-атаки и оперативно принимать меры для защиты сети.
+Определять абонентов участников BotNet.
+При обнаружении угрозы система может полностью изолировать вредоносный поток или очистить трафик, сохранив доступность сервисов для пользователей.\\
+Решение требует:
+  * СКАТ версии BASE, COMPLETE или BRAS с дополнительными опциями
+  * QoE с опцией Обнаружение и очистка трафика (blackhole and flowspec) от BotNet и DDoS-атак (опция antiddos)
+  * разворачивается на существующем сервере с QoE
+<note>
+[[dpi:dpi_options:opt_ddos:ddos_description|Подробнее об инструментах для защиты от DDoS и выявления BotNet]]
+</note>
 =====1. Обновление QoE=====
 **На сервере QoE.**
-Обновить QoE до последней версии, предварительно остановив ресиверы. Перед запуском ресиверов пропатчить ClickHouse:
+[[dpi:qoe_analytics:implementation_administration:installation_update:update|Обновить QoE]] до последней версии, предварительно остановив ресиверы. Перед запуском ресиверов пропатчить ClickHouse:
 <code>dnf --refresh install clickhouse-patched</code>
+Установить период ротации на ресиверах – 1 минута.
 Запустить ресиверы.
@@ Строка 11: / Строка 25: @@
 **На сервере GUI.**
-Обновить GUI до последней версии. Подключить GUI к VAS Cloud, если еще не подключен. Выдать опцию лицензии aniddos.
+[[dpi:dpi_components:dpiui:install_and_update:update|Обновить GUI]] до последней версии. Подключить GUI к VAS Cloud, если еще не подключен, подключать **обязательно через API-токен**. [[dpi:dpi_components:dpiui:user_guide:vas_cloud_services:auth_settings|]]. Запросить опцию лицензии antiddos, если она еще не выдана.
 В файле ''/var/www/html/dpiui2/frontend/env.js'' прописать опцию ''AppEnv.DDoSAttack_isVisible = 1;''
 =====3. Установка детектора=====
 **На сервере QoE.**
+Установить пакет митигатора ''fastm_qoe'' на все узлы:
-Установить пакет митигатора ''fastm_qoe'' на все узлы:<code>dnf install fastm_qoe</code>
-Переключить версию python:<code>dnf install -y python39 python39-devel -y
+  - Перед установкой переключить версию Python: <code>dnf install -y python39 python39-devel -y
 sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.6 60
 sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.9 70
 sudo update-alternatives --config python3</code>
+  - Выбрать версию Python 3.9:<code>python3 --version</code>
-Выбрать версию 3.9:<code>python3 --version</code>
+  - Установить ''fastm_qoe'':<code>dnf install fastm_qoe</code>
 =====4. Настройка детектора=====
@@ Строка 43: / Строка 56: @@
 FM_ATTACKS_METRICS_BY_SUBS_COLLAPSE=1
 FM_ATTACKS_METRICS_BY_SUBS_DAY='day_'</code>
-  - Обновить схему: <code>fastm-db-scheme</code>
+  - Обновить схему: <code>fastm-db-scheme
-  - Включить сбор метрик\\ Для этого в файле ''/var/qoestor/backend/.env'' добавить ''FM_FULLFLOW_HOOK_ENABLE=1''\\ Собирать метрики несколько часов, лучше сутки. После отредактировать файл ''/var/fastm_qoe/etc/.env'' снова и изменить 2 параметра:<code>IDLE_MODE=0
+clickhouse-client -n --query="system reload function has_attack_func"
+clickhouse-client -n --query="system reload dictionary fm_attacks_metrics_by_subs_dic"</code>
+  - Включить сбор метрик\\ Для этого в файле ''/var/qoestor/backend/.env'' добавить <code>FM_FULLFLOW_HOOK_ENABLE=1
+GEO_IP_DIC_AUTOLOAD_ENABLED=1</code> Выполнить дневной крон:<code>sh /var/qoestor/backend/app_bash/cron_daily.sh</code> :!: **Собирать метрики в течение 24 часов.** После этого снова отредактировать файл ''/var/fastm_qoe/etc/.env'', изменить 2 параметра:<code>IDLE_MODE=0
 DB_DROP_TABLES=0</code>Это активирует детектор.
+  - Обновить словари:<code>clickhouse-client -n --query="system reload function has_attack_func"
+clickhouse-client -n --query="system reload dictionary fm_attacks_metrics_by_subs_dic"</code>
 =====5. Пороги срабатывания=====
@@ Строка 68: / Строка 87: @@
 =====6. Хранение метрик (логи DDoS атак)=====
-В веб-интерфейсе GUI настроить хранение сырых и агрегированных метрик, а также хранение сырого и агрегированно лога атак.
+В веб-интерфейсе GUI настроить хранение сырых и агрегированных метрик, а также хранение сырого и агрегированного лога атак.
-В разделе Администратор → Конфигурация GUI → QoE Stor: Настройки времени жизни БД задать значения параметрам:
+В разделе Администратор → Конфигурация GUI → QoE Stor: Настройки времени жизни БД задать следующие значения параметрам:
   * ''QOESTOR_FM_ATTACKS_MAIN_LOG_PARTITIONS_LIFE_TIME_HOUR'' = ''720''
   * ''QOESTOR_FM_ATTACKS_AGG_LOG_PARTITIONS_LIFE_TIME_DAYS'' = ''30''
@@ Строка 77: / Строка 96: @@
 {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?direct&1100|}}
+Для корректного отображения гео-отчетов DDoS-атак необходимо включить параметр ''GEO_IP_DIC_AUTOLOAD_ENABLED'':\\
+{{:dpi:dpi_options:opt_ddos:geo_ru.png?direct&1100|}}
 =====7. Анализ атак=====
 Обнаруженные атаки можно изучить в разделах DDoS атаки в QoE Анлитике.
-  - Начните с раздела ТОП атак за период 24 часа.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?direct&900|}}\\ Отсортируйте атаки по количеству сессий. Запишите себе несколько самых жирных IP.
+  - Начните с раздела "ТОП атак" за период 24 часа.\\ Отсортируйте атаки по количеству сессий, запишите себе несколько IP с наибольшим количеством сессиий.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?direct&700|}}
-  - Посмотрите раздел ТОП атак по протоколам\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы
+  - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы
-  - Посмотрите раздел ТОП атакующих IP адресов\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?direct&900|}}\\ Также запишите себе несколько самых жирных IP.
+  - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?direct&700|}}
-  - Посмотрите Лог атак\\ С фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать доп. выводы, чтобы принимать какие-либо решения.\\ Например, на скрине\\{{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?direct&900|}}\\ явно видно, что идет перебор портов на одном и том же адресе по по  UDP протоколу. В данном случае достаточно поместить IP атакующего  в отдельную АС  и задропать ее..
+  - Посмотрите Лог атак\\ С фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать доп. выводы, чтобы принимать какие-либо решения.\\ Например, на скрине ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В данном случае достаточно поместить IP атакующего в отдельную АС и сделать ее drop.
+<note tip>Блокировка АС подробно описана в сценарии [[dpi:qoe_analytics:cases:network_health:flood#блокировка_ip_с_помещением_в_автономную_систему|Блокировка IP с помещением в автономную систему]]</note>
+{{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?direct&1100|}}\\

Различия

Что вы хотели найти?