| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:dpi_options:opt_ddos:qoe_ddos [2026/04/02 09:02] – [4. Настройка детектора] elena.krasnobryzh | dpi:dpi_options:opt_ddos:qoe_ddos [2026/04/14 15:01] (текущий) – elena.krasnobryzh |
|---|
| clickhouse-client -n --query="system reload dictionary fm_attacks_metrics_by_subs_dic"</code> | clickhouse-client -n --query="system reload dictionary fm_attacks_metrics_by_subs_dic"</code> |
| - Включить сбор метрик\\ Для этого в файле ''/var/qoestor/backend/.env'' добавить <code>FM_FULLFLOW_HOOK_ENABLE=1 | - Включить сбор метрик\\ Для этого в файле ''/var/qoestor/backend/.env'' добавить <code>FM_FULLFLOW_HOOK_ENABLE=1 |
| GEO_IP_DIC_AUTOLOAD_ENABLED=1</code> Выполнить дневной крон:<code>sh /var/qoestor/backend/app_bash/cron_daily.sh</code> :!: **Собирать метрики несколько часов, лучше сутки.**\\ После отредактировать файл ''/var/fastm_qoe/etc/.env'' снова и изменить 2 параметра:<code>IDLE_MODE=0 | GEO_IP_DIC_AUTOLOAD_ENABLED=1</code> Выполнить дневной крон:<code>sh /var/qoestor/backend/app_bash/cron_daily.sh</code> :!: **Собирать метрики в течение 24 часов.** После этого снова отредактировать файл ''/var/fastm_qoe/etc/.env'', изменить 2 параметра:<code>IDLE_MODE=0 |
| DB_DROP_TABLES=0</code>Это активирует детектор. | DB_DROP_TABLES=0</code>Это активирует детектор. |
| - Обновить словари:<code>clickhouse-client -n --query="system reload function has_attack_func" | - Обновить словари:<code>clickhouse-client -n --query="system reload function has_attack_func" |
| * ''QOESTOR_FM_METRICS_AGG_LOG_PARTITIONS_LIFE_TIME_DAYS'' = ''7'' | * ''QOESTOR_FM_METRICS_AGG_LOG_PARTITIONS_LIFE_TIME_DAYS'' = ''7'' |
| |
| {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?direct&1100|}} | {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?nolink&1100|}} |
| |
| Для корректного отображения гео-отчетов DDoS-атак необходимо включить параметр ''GEO_IP_DIC_AUTOLOAD_ENABLED'':\\ | Для корректного отображения гео-отчетов DDoS-атак необходимо включить параметр ''GEO_IP_DIC_AUTOLOAD_ENABLED'':\\ |
| {{:dpi:dpi_options:opt_ddos:geo_ru.png?direct&1100|}} | {{:dpi:dpi_options:opt_ddos:geo_ru.png?nolink&1100|}} |
| |
| =====7. Анализ атак===== | =====7. Анализ атак===== |
| Обнаруженные атаки можно изучить в разделах DDoS атаки в QoE Анлитике. | Обнаруженные атаки можно изучить в разделах DDoS атаки в QoE Аналитике. |
| |
| - Начните с раздела "ТОП атак" за период 24 часа.\\ Отсортируйте атаки по количеству сессий, запишите себе несколько IP с наибольшим количеством сессиий.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?direct&700|}} | - Начните с раздела "ТОП атак" за период 24 часа.\\ Отсортируйте атаки по количеству сессий, запишите себе несколько IP с наибольшим количеством сессиий.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?nolink&700|}} |
| - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы | - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы |
| - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?direct&700|}} | - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?nolink&700|}} |
| - Посмотрите Лог атак\\ С фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать доп. выводы, чтобы принимать какие-либо решения.\\ Например, на скрине ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В данном случае достаточно поместить IP атакующего в отдельную АС и сделать ее drop. | - Проанализируйте Лог атак с фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать дополнительные выводы, чтобы принимать какие-либо решения.\\ Например, на скриншоте ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В этом случае достаточно назначить на профиль атакующего абонента политику ''drop'' для прикладного протокола ''upd unknown'' через сессионный полисинг (18 услуга).\\ \\ Это означает что для выбранного абонента будет полностью заблокирован трафик попадающий в данный протокол, т.е. как UDP flood, так и легитимный UDP трафик определенный на DPI как udp unknown. |
| <note tip>Блокировка АС подробно описана в сценарии [[dpi:qoe_analytics:cases:network_health:flood#блокировка_ip_с_помещением_в_автономную_систему|Блокировка IP с помещением в автономную систему]]</note> | |
| {{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?direct&1100|}}\\ | <note tip>Подробнее о настройке сессионного полисинга: [[dpi:dpi_options:opt_shaping:shaping_session]]</note> |
| | |
| | {{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?nolink&1100|}}\\ |
| |
| |
