| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:dpi_options:opt_ddos:qoe_ddos [2026/04/03 12:57] – [7. Анализ атак] elena.krasnobryzh | dpi:dpi_options:opt_ddos:qoe_ddos [2026/04/14 15:01] (текущий) – elena.krasnobryzh |
|---|
| * ''QOESTOR_FM_METRICS_AGG_LOG_PARTITIONS_LIFE_TIME_DAYS'' = ''7'' | * ''QOESTOR_FM_METRICS_AGG_LOG_PARTITIONS_LIFE_TIME_DAYS'' = ''7'' |
| |
| {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?direct&1100|}} | {{:dpi:dpi_options:opt_ddos:qoe_ddos_1.png?nolink&1100|}} |
| |
| Для корректного отображения гео-отчетов DDoS-атак необходимо включить параметр ''GEO_IP_DIC_AUTOLOAD_ENABLED'':\\ | Для корректного отображения гео-отчетов DDoS-атак необходимо включить параметр ''GEO_IP_DIC_AUTOLOAD_ENABLED'':\\ |
| {{:dpi:dpi_options:opt_ddos:geo_ru.png?direct&1100|}} | {{:dpi:dpi_options:opt_ddos:geo_ru.png?nolink&1100|}} |
| |
| =====7. Анализ атак===== | =====7. Анализ атак===== |
| Обнаруженные атаки можно изучить в разделах DDoS атаки в QoE Анлитике. | Обнаруженные атаки можно изучить в разделах DDoS атаки в QoE Аналитике. |
| |
| - Начните с раздела "ТОП атак" за период 24 часа.\\ Отсортируйте атаки по количеству сессий, запишите себе несколько IP с наибольшим количеством сессиий.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?direct&700|}} | - Начните с раздела "ТОП атак" за период 24 часа.\\ Отсортируйте атаки по количеству сессий, запишите себе несколько IP с наибольшим количеством сессиий.\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_3.png?nolink&700|}} |
| - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы | - Посмотрите раздел "ТОП атак по протоколам"\\ Также отсортируйте по количеству сессий. Запишите себе эти протоколы |
| - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?direct&700|}} | - Посмотрите раздел "ТОП атакующих IP-адресов", запишите себе несколько IP с наибольшим количеством сессиий\\ {{:dpi:dpi_options:opt_ddos:qoe_ddos_2.png?nolink&700|}} |
| - Проанализируйте Лог атак с фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать дополнительные выводы, чтобы принимать какие-либо решения.\\ Например, на скриншоте ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В этом случае достаточно назначить на профиль атакующего абонента политику drop для прикладного протокола upd unknown через сессионный полисинг (18 услуга).\\ \\ Это означает что для выбранного абонента будет полностью заблокирован трафик попадающий в данный протокол, т.е. как UDP flood, так и легитимный UDP трафик определенный на DPI как udp unknown. | - Проанализируйте Лог атак с фильтром по выбранным ранее абонентам и протоколу.\\ Там можно почерпнуть детали атаки и сделать дополнительные выводы, чтобы принимать какие-либо решения.\\ Например, на скриншоте ниже явно видно, что идет перебор портов на одном и том же адресе по UDP протоколу. В этом случае достаточно назначить на профиль атакующего абонента политику ''drop'' для прикладного протокола ''upd unknown'' через сессионный полисинг (18 услуга).\\ \\ Это означает что для выбранного абонента будет полностью заблокирован трафик попадающий в данный протокол, т.е. как UDP flood, так и легитимный UDP трафик определенный на DPI как udp unknown. |
| |
| <note tip>Подробнее о настройке сессионного полисинга: [[dpi:dpi_options:opt_shaping:shaping_session]]</note> | <note tip>Подробнее о настройке сессионного полисинга: [[dpi:dpi_options:opt_shaping:shaping_session]]</note> |
| |
| {{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?direct&1100|}}\\ | {{:dpi:dpi_options:opt_ddos:qoe_ddos_4.png?nolink&1100|}}\\ |
| |
| |
