Настройка детектора DDoS и BotNet на базе QoE [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • ODT преобразование
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • ODT преобразование
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:dpi_options:opt_ddos:qoe_ddos [2026/02/16 13:09] – [7. Анализ атак] elena.krasnobryzhdpi:dpi_options:opt_ddos:qoe_ddos [2026/04/02 09:06] (текущий) – [4. Настройка детектора] elena.krasnobryzh
    Строка 1: Строка 1:
     {{indexmenu_n>3}} {{indexmenu_n>3}}
     ======Настройка детектора DDoS и BotNet на базе QoE====== ======Настройка детектора DDoS и BotNet на базе QoE======
     +Детектор позволяет автоматически контролировать исходящий и входящий трафик, выявлять DDoS-атаки и оперативно принимать меры для защиты сети.
     +Определять абонентов участников BotNet. 
     +При обнаружении угрозы система может полностью изолировать вредоносный поток или очистить трафик, сохранив доступность сервисов для пользователей.\\
     +Решение требует:
     +  * СКАТ версии BASE, COMPLETE или BRAS с дополнительными опциями
     +  * QoE с опцией Обнаружение и очистка трафика (blackhole and flowspec) от BotNet и DDoS-атак (опция antiddos)
     +  * разворачивается на существующем сервере с QoE
     +<note>
     +[[dpi:dpi_options:opt_ddos:ddos_description|Подробнее об инструментах для защиты от DDoS и выявления BotNet]]
     +</note>
     +
     =====1. Обновление QoE===== =====1. Обновление QoE=====
     **На сервере QoE.** **На сервере QoE.**
      
    -Обновить QoE до последней версии, предварительно остановив ресиверы. Перед запуском ресиверов пропатчить ClickHouse: +[[dpi:qoe_analytics:implementation_administration:installation_update:update|Обновить QoE]] до последней версии, предварительно остановив ресиверы. Перед запуском ресиверов пропатчить ClickHouse: 
     <code>dnf --refresh install clickhouse-patched</code> <code>dnf --refresh install clickhouse-patched</code>
     +
     +Установить период ротации на ресиверах – 1 минута.
     +
     Запустить ресиверы. Запустить ресиверы.
      
    Строка 11: Строка 25:
     **На сервере GUI.** **На сервере GUI.**
      
    -Обновить GUI до последней версии. Подключить GUI к VAS Cloud, если еще не подключен. Выдать опцию лицензии aniddos.+[[dpi:dpi_components:dpiui:install_and_update:update|Обновить GUI]] до последней версии. Подключить GUI к VAS Cloud, если еще не подключен, подключать **обязательно через API-токен**. [[dpi:dpi_components:dpiui:user_guide:vas_cloud_services:auth_settings|]]. Запросить опцию лицензии antiddos, если она еще не выдана.
      
     В файле ''/var/www/html/dpiui2/frontend/env.js'' прописать опцию ''AppEnv.DDoSAttack_isVisible = 1;'' В файле ''/var/www/html/dpiui2/frontend/env.js'' прописать опцию ''AppEnv.DDoSAttack_isVisible = 1;''
      
     =====3. Установка детектора===== =====3. Установка детектора=====
    -**На сервере QoE.**  +**На сервере QoE.** 
    - +Установить пакет митигатора ''fastm_qoe'' на все узлы: 
    -Установить пакет митигатора ''fastm_qoe'' на все узлы:<code>dnf install fastm_qoe</code>+
      
    -Переключить версию python:<code>dnf install -y python39 python39-devel -y+  - Перед установкой переключить версию Python: <code>dnf install -y python39 python39-devel -y
     sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.6 60 sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.6 60
     sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.9 70 sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.9 70
     sudo update-alternatives --config python3</code> sudo update-alternatives --config python3</code>
    - +  - Выбрать версию Python 3.9:<code>python3 --version</code> 
    -Выбрать версию 3.9:<code>python3 --version</code>+  - Установить ''fastm_qoe'':<code>dnf install fastm_qoe</code>
      
     =====4. Настройка детектора===== =====4. Настройка детектора=====
    Строка 43: Строка 56:
     FM_ATTACKS_METRICS_BY_SUBS_COLLAPSE=1 FM_ATTACKS_METRICS_BY_SUBS_COLLAPSE=1
     FM_ATTACKS_METRICS_BY_SUBS_DAY='day_'</code> FM_ATTACKS_METRICS_BY_SUBS_DAY='day_'</code>
    -  - Обновить схему: <code>fastm-db-scheme</code> +  - Обновить схему: <code>fastm-db-scheme 
    -  - Включить сбор метрик\\ Для этого в файле ''/var/qoestor/backend/.env'' добавить ''FM_FULLFLOW_HOOK_ENABLE=1''\\ Собирать метрики несколько часов, лучше сутки. После отредактировать файл ''/var/fastm_qoe/etc/.env'' снова и изменить 2 параметра:<code>IDLE_MODE=0+clickhouse-client -n --query="system reload function has_attack_func" 
     +clickhouse-client -n --query="system reload dictionary fm_attacks_metrics_by_subs_dic"</code> 
     +  - Включить сбор метрик\\ Для этого в файле ''/var/qoestor/backend/.env'' добавить <code>FM_FULLFLOW_HOOK_ENABLE=1 
     +GEO_IP_DIC_AUTOLOAD_ENABLED=1</code> Выполнить дневной крон:<code>sh /var/qoestor/backend/app_bash/cron_daily.sh</code> :!: **Собирать метрики в течение 24 часов.** После этого снова отредактировать файл ''/var/fastm_qoe/etc/.env''изменить 2 параметра:<code>IDLE_MODE=0
     DB_DROP_TABLES=0</code>Это активирует детектор. DB_DROP_TABLES=0</code>Это активирует детектор.
     +  - Обновить словари:<code>clickhouse-client -n --query="system reload function has_attack_func"
     +clickhouse-client -n --query="system reload dictionary fm_attacks_metrics_by_subs_dic"</code>
     +
      
     =====5. Пороги срабатывания===== =====5. Пороги срабатывания=====
    Строка 77: Строка 96:
      
     {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?direct&1100|}} {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?direct&1100|}}
     +
     +Для корректного отображения гео-отчетов DDoS-атак необходимо включить параметр ''GEO_IP_DIC_AUTOLOAD_ENABLED'':\\
     +{{:dpi:dpi_options:opt_ddos:geo_ru.png?direct&1100|}}
      
     =====7. Анализ атак===== =====7. Анализ атак=====