Работа с NAT Flow. Как найти абонента за NAT [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Следующая версия    		Предыдущая версия
    dpi:opt_cgnat:abuse_letters [2024/03/14 08:43] – создано elena.krasnobryzhdpi:opt_cgnat:abuse_letters [2024/09/26 15:34] (текущий) kparamonov
    Строка 1: Строка 1:
    -======abuse_letters======+======Работа с NAT Flow. Как найти абонента за NAT====== 
     +{{indexmenu_n>6}} 
     + 
     +<note tip>Для работы данной функциональности необходимы следующие **компоненты**:  
     +  - [[dpi:dpi_components:qoestor|Модуль QoE Stor]]  
     +  - [[dpi:dpi_components:dpiui|Интерфейс управления СКАТ DPI]]  
     +**Лицензии**:  
     +  * СКАТ: CG-NAT — Трансляция сетевых адресов и выгрузка статистики в формате IPFIX  
     +  * QoE: Cбор статистики NAT Flow, сжатие, пользовательские фильтры 
     +Описание настройки NAT Flow в QoE: [[dpi:dpi_components:qoestor:configuration:nat_flow]]</note> 
     + 
     +=====Пример работы с abuse letters===== 
     +Ищем конкретного абонента, на которого пришел внешний abuse.\\  
     +В письме с abuse, как правило, приведен "белый" адрес из NAT-пула, требуется понять кто из абонентов в известное время за этим NAT-пулом ходил на ресурс, где зафиксирована вирусная активность.\\ 
     +Нужно сделать **2 шага** — найти в abuse письме необходимые признаки и по ним в GUI СКАТ идентифицировать абонента. 
     + 
     +==== Шаг 1. Ищем в письме ==== 
     +  - Адрес из своего NAT-пула (source IP). 
     +  - Адрес атакуемого ресурса (destination IP) 
     +  - Время активности на атакуемом ресурсе //(с учетом часовых поясов!)// 
     + 
     +  * **Пример 1.** \\ {{dpi:opt_cgnat:cgnat_faq:email-ex-1.png?nolink&600|}} 
     + 
     +  * ** Пример 2.** \\ {{dpi:opt_cgnat:cgnat_faq:email-ex-2.png?nolink&600|}} 
     + 
     +Еще из полезного в письме может быть: 
     +  - Причина abuse \\ {{dpi:opt_cgnat:cgnat_faq:email-abuse-type.png?nolink&600|}} 
     +  - История abuse (если активность была неоднократной) \\ {{dpi:opt_cgnat:cgnat_faq:email-abuse-logs.png?nolink&600|}} 
     + 
     +Это может помочь понять масштаб проблемы и выявлять аналогичные проблемы в сети. 
     + 
     +==== Шаг 2. Ищем активность абонента в GUI СКАТ ==== 
     +Задача — определить по логам, какой абонент за NAT-пулом (source IP), указанным в письме, в это время обращался к адресу destination IP. 
     + 
     +Перед началом поиска стоит проверить 2 факта: 
     +  - Данный NAT-пул заведен на CG-NAT СКАТ. \\ {{dpi:opt_cgnat:cgnat_faq:nat_pool.png?direct&600|}} 
     +  - Время хранения логов NAT захватывает время abuse-активности. Посмотреть и настроить \\ {{dpi:opt_cgnat:cgnat_faq:nat_log_lifetime.png?direct&600|}} 
     + 
     +Далее в GUI СКАТ необходимо открыть раздел NAT flow, выбрать период, завести source и destination IP. \\ 
     +  * {{dpi:opt_cgnat:cgnat_faq:nat_flow_src_dest_1.png?direct&600|}} 
     + 
     +  * {{dpi:opt_cgnat:cgnat_faq:nat_flow_src_dest_2.png?direct&600|}} 
     +<note>С найденным абонентом нужно произвести необходимые действия для профилактики дальнейших abuse.</note>