dpi:opt_cgnat:cgnat_faq:cgnat_faq_8 [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:opt_cgnat:cgnat_faq:cgnat_faq_8 [2023/08/24 08:48] – ↷ Страница перемещена из dpi:dpi_options:opt_cgnat:cgnat_faq:cgnat_faq_8 в dpi:opt_cgnat:cgnat_faq:cgnat_faq_8 elena.krasnobryzhdpi:opt_cgnat:cgnat_faq:cgnat_faq_8 [2023/08/28 09:02] (текущий) – удалено elena.krasnobryzh
    Строка 1: Строка 1:
    -====== 8 Как найти абонента за NAT. Работа с abuse letters ====== 
    -{{indexmenu_n>8}} 
      
    -Ищем конкретного абонента, на которого пришел внешний abuse.  
    -В письме с abuse, как правило, приведен "белый" адрес из NAT-пула, требуется понять кто из абонентов в известное время за этим NAT-пулом ходил на ресурс, где зафиксирована вирусная активность. 
    -Нужно сделать **2 шага** — найти в abuse письме необходимые признаки и по ним в GUI СКАТ идентифицировать абонента. 
    - 
    -==== Шаг 1. Ищем в письме ==== 
    -  - Адрес из своего NAT-пула (source IP). 
    -  - Адрес атакуемого ресурса (destination IP) 
    -  - Время активности на атакуемом ресурсе //(с учетом часовых поясов!)// 
    - 
    -  * **Пример 1.** \\ {{:dpi:dpi_options:opt_cgnat:cgnat_faq:email-ex-1.png?nolink&600|}} 
    - 
    -  * ** Пример 2.** \\ {{:dpi:dpi_options:opt_cgnat:cgnat_faq:email-ex-2.png?nolink&600|}} 
    - 
    -Еще из полезного в письме может быть: 
    -  - Причина abuse \\ {{:dpi:dpi_options:opt_cgnat:cgnat_faq:email-abuse-type.png?nolink&600|}} 
    -  - История abuse (если активность была неоднократной) \\ {{:dpi:dpi_options:opt_cgnat:cgnat_faq:email-abuse-logs.png?nolink&600|}} 
    - 
    -Это может помочь понять масштаб проблемы и выявлять аналогичные проблемы в сети. 
    - 
    -==== Шаг 2. Ищем активность абонента в GUI СКАТ ==== 
    -Задача — определить по логам, какой абонент за NAT-пулом (source IP), указанным в письме, в это время обращался к адресу destination IP. 
    - 
    -Перед началом поиска стоит проверить 2 факта: 
    -  - Данный NAT-пул заведен на CG-NAT СКАТ. \\ {{:dpi:dpi_options:opt_cgnat:cgnat_faq:nat_pool.png?direct&600|}} 
    -  - Время хранения логов NAT захватывает время abuse-активности. Посмотреть и настроить \\ {{:dpi:dpi_options:opt_cgnat:cgnat_faq:nat_log_lifetime.png?direct&600|}} 
    - 
    -Далее в GUI СКАТ необходимо открыть раздел NAT flow, выбрать период, завести source и destination IP. \\ 
    -  * {{:dpi:dpi_options:opt_cgnat:cgnat_faq:nat_flow_src_dest_1.png?direct&600|}} 
    - 
    -  * {{:dpi:dpi_options:opt_cgnat:cgnat_faq:nat_flow_src_dest_2.png?direct&600|}} 
    -<note>С найденным абонентом нужно произвести необходимые действия для профилактики дальнейших abuse.</note>