| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:dpi_options:opt_ddos:qoe_ddos [2026/02/16 09:25] – [7. Анализ атак] elena.krasnobryzh | dpi:dpi_options:opt_ddos:qoe_ddos [2026/04/02 09:06] (текущий) – [4. Настройка детектора] elena.krasnobryzh |
|---|
| {{indexmenu_n>2}} | {{indexmenu_n>3}} |
| ======Настройка детектора DDoS на базе QoE====== | ======Настройка детектора DDoS и BotNet на базе QoE====== |
| | Детектор позволяет автоматически контролировать исходящий и входящий трафик, выявлять DDoS-атаки и оперативно принимать меры для защиты сети. |
| | Определять абонентов участников BotNet. |
| | При обнаружении угрозы система может полностью изолировать вредоносный поток или очистить трафик, сохранив доступность сервисов для пользователей.\\ |
| | Решение требует: |
| | * СКАТ версии BASE, COMPLETE или BRAS с дополнительными опциями |
| | * QoE с опцией Обнаружение и очистка трафика (blackhole and flowspec) от BotNet и DDoS-атак (опция antiddos) |
| | * разворачивается на существующем сервере с QoE |
| | <note> |
| | [[dpi:dpi_options:opt_ddos:ddos_description|Подробнее об инструментах для защиты от DDoS и выявления BotNet]] |
| | </note> |
| =====1. Обновление QoE===== | =====1. Обновление QoE===== |
| **На сервере QoE.** | **На сервере QoE.** |
| |
| Обновить QoE до последней версии, предварительно остановив ресиверы. Перед запуском ресиверов пропатчить ClickHouse: | [[dpi:qoe_analytics:implementation_administration:installation_update:update|Обновить QoE]] до последней версии, предварительно остановив ресиверы. Перед запуском ресиверов пропатчить ClickHouse: |
| <code>dnf --refresh install clickhouse-patched</code> | <code>dnf --refresh install clickhouse-patched</code> |
| | |
| | Установить период ротации на ресиверах – 1 минута. |
| | |
| Запустить ресиверы. | Запустить ресиверы. |
| |
| **На сервере GUI.** | **На сервере GUI.** |
| |
| Обновить GUI до последней версии. Подключить GUI к VAS Cloud, если еще не подключен. Выдать опцию лицензии aniddos. | [[dpi:dpi_components:dpiui:install_and_update:update|Обновить GUI]] до последней версии. Подключить GUI к VAS Cloud, если еще не подключен, подключать **обязательно через API-токен**. [[dpi:dpi_components:dpiui:user_guide:vas_cloud_services:auth_settings|]]. Запросить опцию лицензии antiddos, если она еще не выдана. |
| |
| В файле ''/var/www/html/dpiui2/frontend/env.js'' прописать опцию ''AppEnv.DDoSAttack_isVisible = 1;'' | В файле ''/var/www/html/dpiui2/frontend/env.js'' прописать опцию ''AppEnv.DDoSAttack_isVisible = 1;'' |
| |
| =====3. Установка детектора===== | =====3. Установка детектора===== |
| **На сервере QoE.** | **На сервере QoE.** |
| | Установить пакет митигатора ''fastm_qoe'' на все узлы: |
| Установить пакет митигатора ''fastm_qoe'' на все узлы:<code>dnf install fastm_qoe</code> | |
| |
| Переключить версию python:<code>dnf install -y python39 python39-devel -y | - Перед установкой переключить версию Python: <code>dnf install -y python39 python39-devel -y |
| sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.6 60 | sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.6 60 |
| sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.9 70 | sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.9 70 |
| sudo update-alternatives --config python3</code> | sudo update-alternatives --config python3</code> |
| | - Выбрать версию Python 3.9:<code>python3 --version</code> |
| Выбрать версию 3.9:<code>python3 --version</code> | - Установить ''fastm_qoe'':<code>dnf install fastm_qoe</code> |
| |
| =====4. Настройка детектора===== | =====4. Настройка детектора===== |
| FM_ATTACKS_METRICS_BY_SUBS_COLLAPSE=1 | FM_ATTACKS_METRICS_BY_SUBS_COLLAPSE=1 |
| FM_ATTACKS_METRICS_BY_SUBS_DAY='day_'</code> | FM_ATTACKS_METRICS_BY_SUBS_DAY='day_'</code> |
| - Обновить схему: <code>fastm-db-scheme</code> | - Обновить схему: <code>fastm-db-scheme |
| - Включить сбор метрик\\ Для этого в файле ''/var/qoestor/backend/.env'' добавить ''FM_FULLFLOW_HOOK_ENABLE=1''\\ Собирать метрики несколько часов, лучше сутки. После отредактировать файл ''/var/fastm_qoe/etc/.env'' снова и изменить 2 параметра:<code>IDLE_MODE=0 | clickhouse-client -n --query="system reload function has_attack_func" |
| | clickhouse-client -n --query="system reload dictionary fm_attacks_metrics_by_subs_dic"</code> |
| | - Включить сбор метрик\\ Для этого в файле ''/var/qoestor/backend/.env'' добавить <code>FM_FULLFLOW_HOOK_ENABLE=1 |
| | GEO_IP_DIC_AUTOLOAD_ENABLED=1</code> Выполнить дневной крон:<code>sh /var/qoestor/backend/app_bash/cron_daily.sh</code> :!: **Собирать метрики в течение 24 часов.** После этого снова отредактировать файл ''/var/fastm_qoe/etc/.env'', изменить 2 параметра:<code>IDLE_MODE=0 |
| DB_DROP_TABLES=0</code>Это активирует детектор. | DB_DROP_TABLES=0</code>Это активирует детектор. |
| | - Обновить словари:<code>clickhouse-client -n --query="system reload function has_attack_func" |
| | clickhouse-client -n --query="system reload dictionary fm_attacks_metrics_by_subs_dic"</code> |
| | |
| |
| =====5. Пороги срабатывания===== | =====5. Пороги срабатывания===== |
| |
| {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?direct&1100|}} | {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?direct&1100|}} |
| | |
| | Для корректного отображения гео-отчетов DDoS-атак необходимо включить параметр ''GEO_IP_DIC_AUTOLOAD_ENABLED'':\\ |
| | {{:dpi:dpi_options:opt_ddos:geo_ru.png?direct&1100|}} |
| |
| =====7. Анализ атак===== | =====7. Анализ атак===== |
| - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы | - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы |
| - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?direct&700|}} | - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?direct&700|}} |
| - Посмотрите Лог атак\\ С фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать доп. выводы, чтобы принимать какие-либо решения.\\ Например, на скрине ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В данном случае достаточно поместить IP атакующего в отдельную АС и сделать ее drop. \\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?direct&1100|}}\\ | - Посмотрите Лог атак\\ С фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать доп. выводы, чтобы принимать какие-либо решения.\\ Например, на скрине ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В данном случае достаточно поместить IP атакующего в отдельную АС и сделать ее drop. |
| | <note tip>Блокировка АС подробно описана в сценарии [[dpi:qoe_analytics:cases:network_health:flood#блокировка_ip_с_помещением_в_автономную_систему|Блокировка IP с помещением в автономную систему]]</note> |
| | {{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?direct&1100|}}\\ |
| |
| |
