Поиск DDoS атак, BotNet и перехода на конкретный ресурс с использованием триггеров в QoE [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:qoe:use_cases:triggers_setup [2023/08/25 12:57] – ↷ Страница перемещена из dpi:dpi_bestpractice:triggers_setup в dpi:qoe:use_cases:triggers_setup elena.krasnobryzhdpi:qoe:use_cases:triggers_setup [2024/09/26 15:29] (текущий) – внешнее изменение 127.0.0.1
    Строка 1: Строка 1:
    -====== Поиск DDoS атак с использованием триггеров в QoE====== +====== Поиск DDoS атак, BotNet и перехода на конкретный ресурс с использованием триггеров в QoE====== 
    -{{indexmenu_n>18}}+{{indexmenu_n>5}}
      
    -[[dpi:dpi_components:dpiui:user_guide:qoe_analytics:triggers_and_notifications:start|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий:+[[dpi:dpi_components:dpiui:user_guide:qoe_analytics:triggers_and_notifications|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий:
       * уведомление в GUI   * уведомление в GUI
       * HTTP действие   * HTTP действие
    Строка 8: Строка 8:
     \\ \\
     Необходимые опции СКАТ DPI: Необходимые опции СКАТ DPI:
    -  * [[dpi:dpi_options:opt_statistics:start]] +  * [[dpi:dpi_options:opt_statistics]] 
    -  * [[dpi:dpi_options:opt_notify:start]]+  * [[dpi:dpi_options:opt_notify]]
     Необходимые дополнительные модули: Необходимые дополнительные модули:
       * [[dpi:dpi_components:dpiui|]]   * [[dpi:dpi_components:dpiui|]]
    -  * [[dpi:dpi_components:qoestor:start|]]+  * [[dpi:dpi_components:qoestor|]]
      
     ===== Пример настройки триггера на поиск источника DDOS-атаки типа Flood ===== ===== Пример настройки триггера на поиск источника DDOS-атаки типа Flood =====
    Строка 18: Строка 18:
     === Общая информация триггера === === Общая информация триггера ===
      
    -{{ :dpi:dpi_bestpractice:ddos_common.png?nolink&600 |}}+{{ dpi:qoe:use_cases:ddos_common.png?nolink&600 |}}
      
     Название триггера «DDOS поиск источника», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены. Название триггера «DDOS поиск источника», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены.
    Строка 26: Строка 26:
     === Запросы === === Запросы ===
      
    -{{ :dpi:dpi_bestpractice:ddos_query.png?nolink&600 |}}+{{ dpi:qoe:use_cases:ddos_query.png?nolink&600 |}}
      
       * Добавить поле   * Добавить поле
    Строка 37: Строка 37:
     === Условия === === Условия ===
      
    -{{ :dpi:dpi_bestpractice:ddos_conditions.png?nolink&600 |}}+{{ dpi:qoe:use_cases:ddos_conditions.png?nolink&600 |}}
      
       * Добавить "+" 2 поля   * Добавить "+" 2 поля
    Строка 49: Строка 49:
     === Обработка ошибок === === Обработка ошибок ===
      
    -{{ :dpi:dpi_bestpractice:ddos_error.png?nolink&600 |}}+{{ dpi:qoe:use_cases:ddos_error.png?nolink&600 |}}
      
       * В поле "Если нет ошибок" — нет данных   * В поле "Если нет ошибок" — нет данных
    Строка 59: Строка 59:
     == E-mail действие == == E-mail действие ==
      
    -{{ :dpi:dpi_bestpractice:ddos_email.png?nolink&600 |}}+{{ dpi:qoe:use_cases:ddos_email.png?nolink&600 |}}
      
       * Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы)   * Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы)
    Строка 67: Строка 67:
     == Нотификация == == Нотификация ==
      
    -{{ :dpi:dpi_bestpractice:ddos_notification.png?nolink&600 |}}+{{ dpi:qoe:use_cases:ddos_notification.png?nolink&600 |}}
      
       * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)   * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)
    Строка 73: Строка 73:
       * При этой настройке будет создана нотификация в СКАТ   * При этой настройке будет создана нотификация в СКАТ
      
    -{{ :dpi:dpi_bestpractice:ddos_alerts.png?nolink&600 |}}+{{ dpi:qoe:use_cases:ddos_alerts.png?nolink&600 |}}
      
     Получить ссылку на отчет можно через меню нотификаций Получить ссылку на отчет можно через меню нотификаций
      
    -{{ :dpi:dpi_bestpractice:ddos_report.png?nolink&400 |}}+{{ dpi:qoe:use_cases:ddos_report.png?nolink&400 |}}
      
     Выбрать нотификацию Выбрать нотификацию
     Выбрать — "Детали" Выбрать — "Детали"
      
    -{{ :dpi:dpi_bestpractice:ddos_details.png?nolink&400 |}}+{{ dpi:qoe:use_cases:ddos_details.png?nolink&400 |}}
      
     Перейти по ссылке на отчет — отчет откроется в новом окне браузера. Перейти по ссылке на отчет — отчет откроется в новом окне браузера.
    Строка 88: Строка 88:
     == HTTP действие == == HTTP действие ==
      
    -{{ :dpi:dpi_bestpractice:ddos_http.png?nolink&600 |}}+{{ dpi:qoe:use_cases:ddos_http.png?nolink&600 |}}
      
     Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)
    Строка 100: Строка 100:
     === Запросы === === Запросы ===
      
    -{{ :dpi:dpi_bestpractice:ddos_target_query.png?nolink&600 |}}+{{ dpi:qoe:use_cases:ddos_target_query.png?nolink&600 |}}
      
     в поле отчет выбрать Raw full netflow -> Tables -> Attacks detection -> Top subscribers -> Maxi в поле отчет выбрать Raw full netflow -> Tables -> Attacks detection -> Top subscribers -> Maxi
    Строка 106: Строка 106:
     === Условия === === Условия ===
      
    -{{ :dpi:dpi_bestpractice:ddos_target_conditions.png?nolink&600 |}}+{{ dpi:qoe:use_cases:ddos_target_conditions.png?nolink&600 |}}
      
     Серия — "Объем Flow к абонентам, Пак", >= 10000 Серия — "Объем Flow к абонентам, Пак", >= 10000
    Строка 112: Строка 112:
     <note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note> <note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note>
      
    -===== Анализ BotNet =====+====== Анализ BotNet ======
     От предыдущего примера отличается настройкой 2 и 3 этапов (Запросы и Условия). От предыдущего примера отличается настройкой 2 и 3 этапов (Запросы и Условия).
      
     === Запросы === === Запросы ===
      
    -{{ :dpi:dpi_bestpractice:botnet_query.png?nolink&600 |}}+{{ dpi:qoe:use_cases:botnet_query.png?nolink&600 |}}
      
       * Выбрать Raw full netflow -> Tables -> Attacks detection -> Top application protocols -> Maxi для значения "А"   * Выбрать Raw full netflow -> Tables -> Attacks detection -> Top application protocols -> Maxi для значения "А"
    Строка 124: Строка 124:
     === Условия === === Условия ===
      
    -{{ :dpi:dpi_bestpractice:botnet_conditions.png?nolink&600 |}}+{{ dpi:qoe:use_cases:botnet_conditions.png?nolink&600 |}}
      
     Т.к. BotNet чаще всего использует порты 6667 и 1080 — добавить каждый порт назначения/источника выбрав запрос "B" со значением "ИЛИ", и Flow Pcts/s больше или равно 2000. Т.к. BotNet чаще всего использует порты 6667 и 1080 — добавить каждый порт назначения/источника выбрав запрос "B" со значением "ИЛИ", и Flow Pcts/s больше или равно 2000.
    Строка 131: Строка 131:
     <note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note> <note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note>
      
    -===== Фиксация перехода абонента на ресурс конкурента =====+====== Фиксация перехода абонента на ресурс конкурента ======
     === Общая информация триггера === === Общая информация триггера ===
      
    -{{ :dpi:dpi_bestpractice:competitors_common.png?nolink&600 |}}+{{ dpi:qoe:use_cases:competitors_common.png?nolink&600 |}}
      
     Название триггера «Интерес к конкурентам», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены. Название триггера «Интерес к конкурентам», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены.
    Строка 142: Строка 142:
     === Запросы ===  === Запросы === 
      
    -{{ :dpi:dpi_bestpractice:competitors_query.png?nolink&600 |}}+{{ dpi:qoe:use_cases:competitors_query.png?nolink&600 |}}
      
       * Добавить "+" поле   * Добавить "+" поле
    Строка 152: Строка 152:
     === Условия === === Условия ===
      
    -{{ :dpi:dpi_bestpractice:competitors_conditions.png?nolink&600 |}}+{{ dpi:qoe:use_cases:competitors_conditions.png?nolink&600 |}}
      
       * Добавить "+" поле 3 поля   * Добавить "+" поле 3 поля
    Строка 162: Строка 162:
     === Обработка ошибок === === Обработка ошибок ===
      
    -{{ :dpi:dpi_bestpractice:competitors_errors.png?nolink&600 |}}+{{ dpi:qoe:use_cases:competitors_errors.png?nolink&600 |}}
      
       * В поле "Если нет ошибок" — нет данных   * В поле "Если нет ошибок" — нет данных
    Строка 172: Строка 172:
     == E-mail действие == == E-mail действие ==
      
    -{{ :dpi:dpi_bestpractice:competitors_email.png?nolink&600 |}}+{{ dpi:qoe:use_cases:competitors_email.png?nolink&600 |}}
      
       * Для автоматического заполнения — кликнуть (автоматическое заполнение формы)   * Для автоматического заполнения — кликнуть (автоматическое заполнение формы)
    Строка 181: Строка 181:
     == Нотификация == == Нотификация ==
      
    -{{ :dpi:dpi_bestpractice:competitors_notifications.png?nolink&600 |}}+{{ dpi:qoe:use_cases:competitors_notifications.png?nolink&600 |}}
      
       * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)   * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)
    Строка 187: Строка 187:
       * При этой настройке будет создана нотификация в СКАТ   * При этой настройке будет создана нотификация в СКАТ
      
    -{{ :dpi:dpi_bestpractice:competitors_alerts.png?nolink&600 |}}+{{ dpi:qoe:use_cases:competitors_alerts.png?nolink&600 |}}
      
     Получить ссылку на отчет можно через меню нотификаций Получить ссылку на отчет можно через меню нотификаций
      
    -{{ :dpi:dpi_bestpractice:competitors_report.png?nolink&400 |}}+{{ dpi:qoe:use_cases:competitors_report.png?nolink&400 |}}
      
     Выбрать нотификацию Выбрать нотификацию
     Выбрать — "Детали" Выбрать — "Детали"
      
    -{{ :dpi:dpi_bestpractice:competitors_details.png?nolink&400 |}}+{{ dpi:qoe:use_cases:competitors_details.png?nolink&400 |}}
      
     Перейти по ссылке на отчет — отчет откроется в новом окне браузера. Перейти по ссылке на отчет — отчет откроется в новом окне браузера.
    Строка 202: Строка 202:
     == HTTP действие == == HTTP действие ==
      
    -{{ :dpi:dpi_bestpractice:competitors_http.png?nolink&600 |}}+{{ dpi:qoe:use_cases:competitors_http.png?nolink&600 |}}
      
       * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)   * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)