Работа с NAT Flow. Как найти абонента за NAT [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:opt_cgnat:abuse_letters:start [2024/09/05 11:33] elena.krasnobryzhdpi:opt_cgnat:abuse_letters:start [Дата неизвестна] (текущий) – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1
    Строка 1: Строка 1:
    -{{indexmenu_n>6}} 
    -======Работа с NAT Flow. Как найти абонента за NAT====== 
    -<note tip>Для работы данной функциональности необходимы следующие **компоненты**: [[dpi:dpi_components:qoestor:start|Модуль QoE Stor]] и [[dpi:dpi_components:dpiui:start|Интерфейс управления СКАТ DPI]]\\ и **лицензии**:  
    -  * на СКАТ: CG-NAT — Трансляция сетевых адресов и выгрузка статистики в формате IPFIX  
    -  * на QoE: Cбор статистики NAT Flow, сжатие, пользовательские фильтры 
    -Описание настройки NAT в QoE: [[dpi:dpi_components:qoestor:configuration:nat_flow:start]]</note> 
      
    -=====Пример работы с abuse letters===== 
    -Ищем конкретного абонента, на которого пришел внешний abuse.\\  
    -В письме с abuse, как правило, приведен "белый" адрес из NAT-пула, требуется понять кто из абонентов в известное время за этим NAT-пулом ходил на ресурс, где зафиксирована вирусная активность.\\ 
    -Нужно сделать **2 шага** — найти в abuse письме необходимые признаки и по ним в GUI СКАТ идентифицировать абонента. 
    - 
    -==== Шаг 1. Ищем в письме ==== 
    -  - Адрес из своего NAT-пула (source IP). 
    -  - Адрес атакуемого ресурса (destination IP) 
    -  - Время активности на атакуемом ресурсе //(с учетом часовых поясов!)// 
    - 
    -  * **Пример 1.** \\ {{dpi:opt_cgnat:cgnat_faq:email-ex-1.png?nolink&600|}} 
    - 
    -  * ** Пример 2.** \\ {{dpi:opt_cgnat:cgnat_faq:email-ex-2.png?nolink&600|}} 
    - 
    -Еще из полезного в письме может быть: 
    -  - Причина abuse \\ {{dpi:opt_cgnat:cgnat_faq:email-abuse-type.png?nolink&600|}} 
    -  - История abuse (если активность была неоднократной) \\ {{dpi:opt_cgnat:cgnat_faq:email-abuse-logs.png?nolink&600|}} 
    - 
    -Это может помочь понять масштаб проблемы и выявлять аналогичные проблемы в сети. 
    - 
    -==== Шаг 2. Ищем активность абонента в GUI СКАТ ==== 
    -Задача — определить по логам, какой абонент за NAT-пулом (source IP), указанным в письме, в это время обращался к адресу destination IP. 
    - 
    -Перед началом поиска стоит проверить 2 факта: 
    -  - Данный NAT-пул заведен на CG-NAT СКАТ. \\ {{dpi:opt_cgnat:cgnat_faq:nat_pool.png?direct&600|}} 
    -  - Время хранения логов NAT захватывает время abuse-активности. Посмотреть и настроить \\ {{dpi:opt_cgnat:cgnat_faq:nat_log_lifetime.png?direct&600|}} 
    - 
    -Далее в GUI СКАТ необходимо открыть раздел NAT flow, выбрать период, завести source и destination IP. \\ 
    -  * {{dpi:opt_cgnat:cgnat_faq:nat_flow_src_dest_1.png?direct&600|}} 
    - 
    -  * {{dpi:opt_cgnat:cgnat_faq:nat_flow_src_dest_2.png?direct&600|}} 
    -<note>С найденным абонентом нужно произвести необходимые действия для профилактики дальнейших abuse.</note>