| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:dpi_options:opt_ddos:qoe_ddos [2026/02/19 10:27] – elena.krasnobryzh | dpi:dpi_options:opt_ddos:qoe_ddos [2026/04/14 15:01] (текущий) – elena.krasnobryzh |
|---|
| {{indexmenu_n>3}} | {{indexmenu_n>3}} |
| ======Настройка детектора DDoS и BotNet на базе QoE====== | ======Настройка детектора DDoS и BotNet на базе QoE====== |
| Детектор позволяет автоматически контролировать входящий трафик, выявлять DDoS-атаки и оперативно принимать меры для защиты сети. При обнаружении угрозы система может полностью изолировать вредоносный поток или очистить трафик, сохранив доступность сервисов для пользователей.\\ | Детектор позволяет автоматически контролировать исходящий и входящий трафик, выявлять DDoS-атаки и оперативно принимать меры для защиты сети. |
| Решение требует СКАТ версии BASE, COMPLETE или BRAS с дополнительными опциями и разворачивается на существующем сервере с QoE. | Определять абонентов участников BotNet. |
| | При обнаружении угрозы система может полностью изолировать вредоносный поток или очистить трафик, сохранив доступность сервисов для пользователей.\\ |
| | Решение требует: |
| | * СКАТ версии BASE, COMPLETE или BRAS с дополнительными опциями |
| | * QoE с опцией Обнаружение и очистка трафика (blackhole and flowspec) от BotNet и DDoS-атак (опция antiddos) |
| | * разворачивается на существующем сервере с QoE |
| <note> | <note> |
| [[dpi:dpi_options:opt_ddos:ddos_description|Подробнее об инструментах для защиты от DDoS и выявления BotNet]] | [[dpi:dpi_options:opt_ddos:ddos_description|Подробнее об инструментах для защиты от DDoS и выявления BotNet]] |
| **На сервере QoE.** | **На сервере QoE.** |
| |
| Обновить QoE до последней версии, предварительно остановив ресиверы. Перед запуском ресиверов пропатчить ClickHouse: | [[dpi:qoe_analytics:implementation_administration:installation_update:update|Обновить QoE]] до последней версии, предварительно остановив ресиверы. Перед запуском ресиверов пропатчить ClickHouse: |
| <code>dnf --refresh install clickhouse-patched</code> | <code>dnf --refresh install clickhouse-patched</code> |
| | |
| | Установить период ротации на ресиверах – 1 минута. |
| | |
| Запустить ресиверы. | Запустить ресиверы. |
| |
| **На сервере GUI.** | **На сервере GUI.** |
| |
| Обновить GUI до последней версии. Подключить GUI к VAS Cloud, если еще не подключен. Выдать опцию лицензии aniddos. | [[dpi:dpi_components:dpiui:install_and_update:update|Обновить GUI]] до последней версии. Подключить GUI к VAS Cloud, если еще не подключен, подключать **обязательно через API-токен**. [[dpi:dpi_components:dpiui:user_guide:vas_cloud_services:auth_settings|]]. Запросить опцию лицензии antiddos, если она еще не выдана. |
| |
| В файле ''/var/www/html/dpiui2/frontend/env.js'' прописать опцию ''AppEnv.DDoSAttack_isVisible = 1;'' | В файле ''/var/www/html/dpiui2/frontend/env.js'' прописать опцию ''AppEnv.DDoSAttack_isVisible = 1;'' |
| |
| =====3. Установка детектора===== | =====3. Установка детектора===== |
| **На сервере QoE.** | **На сервере QoE.** |
| | Установить пакет митигатора ''fastm_qoe'' на все узлы: |
| |
| Установить пакет митигатора ''fastm_qoe'' на все узлы:<code>dnf install fastm_qoe</code> | - Перед установкой переключить версию Python: <code>dnf install -y python39 python39-devel -y |
| | |
| Переключить версию python:<code>dnf install -y python39 python39-devel -y | |
| sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.6 60 | sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.6 60 |
| sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.9 70 | sudo update-alternatives --install /usr/bin/python3 python3 /usr/bin/python3.9 70 |
| sudo update-alternatives --config python3</code> | sudo update-alternatives --config python3</code> |
| | - Выбрать версию Python 3.9:<code>python3 --version</code> |
| Выбрать версию 3.9:<code>python3 --version</code> | - Установить ''fastm_qoe'':<code>dnf install fastm_qoe</code> |
| |
| =====4. Настройка детектора===== | =====4. Настройка детектора===== |
| FM_ATTACKS_METRICS_BY_SUBS_COLLAPSE=1 | FM_ATTACKS_METRICS_BY_SUBS_COLLAPSE=1 |
| FM_ATTACKS_METRICS_BY_SUBS_DAY='day_'</code> | FM_ATTACKS_METRICS_BY_SUBS_DAY='day_'</code> |
| - Обновить схему: <code>fastm-db-scheme</code> | - Обновить схему: <code>fastm-db-scheme |
| - Включить сбор метрик\\ Для этого в файле ''/var/qoestor/backend/.env'' добавить ''FM_FULLFLOW_HOOK_ENABLE=1''\\ Собирать метрики несколько часов, лучше сутки. После отредактировать файл ''/var/fastm_qoe/etc/.env'' снова и изменить 2 параметра:<code>IDLE_MODE=0 | clickhouse-client -n --query="system reload function has_attack_func" |
| | clickhouse-client -n --query="system reload dictionary fm_attacks_metrics_by_subs_dic"</code> |
| | - Включить сбор метрик\\ Для этого в файле ''/var/qoestor/backend/.env'' добавить <code>FM_FULLFLOW_HOOK_ENABLE=1 |
| | GEO_IP_DIC_AUTOLOAD_ENABLED=1</code> Выполнить дневной крон:<code>sh /var/qoestor/backend/app_bash/cron_daily.sh</code> :!: **Собирать метрики в течение 24 часов.** После этого снова отредактировать файл ''/var/fastm_qoe/etc/.env'', изменить 2 параметра:<code>IDLE_MODE=0 |
| DB_DROP_TABLES=0</code>Это активирует детектор. | DB_DROP_TABLES=0</code>Это активирует детектор. |
| | - Обновить словари:<code>clickhouse-client -n --query="system reload function has_attack_func" |
| | clickhouse-client -n --query="system reload dictionary fm_attacks_metrics_by_subs_dic"</code> |
| | |
| |
| =====5. Пороги срабатывания===== | =====5. Пороги срабатывания===== |
| * ''QOESTOR_FM_METRICS_AGG_LOG_PARTITIONS_LIFE_TIME_DAYS'' = ''7'' | * ''QOESTOR_FM_METRICS_AGG_LOG_PARTITIONS_LIFE_TIME_DAYS'' = ''7'' |
| |
| {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?direct&1100|}} | {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?nolink&1100|}} |
| | |
| | Для корректного отображения гео-отчетов DDoS-атак необходимо включить параметр ''GEO_IP_DIC_AUTOLOAD_ENABLED'':\\ |
| | {{:dpi:dpi_options:opt_ddos:geo_ru.png?nolink&1100|}} |
| |
| =====7. Анализ атак===== | =====7. Анализ атак===== |
| Обнаруженные атаки можно изучить в разделах DDoS атаки в QoE Анлитике. | Обнаруженные атаки можно изучить в разделах DDoS атаки в QoE Аналитике. |
| |
| - Начните с раздела "ТОП атак" за период 24 часа.\\ Отсортируйте атаки по количеству сессий, запишите себе несколько IP с наибольшим количеством сессиий.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?direct&700|}} | - Начните с раздела "ТОП атак" за период 24 часа.\\ Отсортируйте атаки по количеству сессий, запишите себе несколько IP с наибольшим количеством сессиий.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?nolink&700|}} |
| - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы | - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы |
| - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?direct&700|}} | - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?nolink&700|}} |
| - Посмотрите Лог атак\\ С фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать доп. выводы, чтобы принимать какие-либо решения.\\ Например, на скрине ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В данном случае достаточно поместить IP атакующего в отдельную АС и сделать ее drop. | - Проанализируйте Лог атак с фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать дополнительные выводы, чтобы принимать какие-либо решения.\\ Например, на скриншоте ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В этом случае достаточно назначить на профиль атакующего абонента политику ''drop'' для прикладного протокола ''upd unknown'' через сессионный полисинг (18 услуга).\\ \\ Это означает что для выбранного абонента будет полностью заблокирован трафик попадающий в данный протокол, т.е. как UDP flood, так и легитимный UDP трафик определенный на DPI как udp unknown. |
| <note tip>Блокировка АС подробно описана в сценарии [[dpi:qoe_analytics:cases:network_health:flood#блокировка_ip_с_помещением_в_автономную_систему|Блокировка IP с помещением в автономную систему]]</note> | |
| {{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?direct&1100|}}\\ | <note tip>Подробнее о настройке сессионного полисинга: [[dpi:dpi_options:opt_shaping:shaping_session]]</note> |
| | |
| | {{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?nolink&1100|}}\\ |
| |
| |
