| Предыдущая версия справа и слеваПредыдущая версия | |
| dpi:qoe:use_cases:triggers_setup [2023/08/30 08:12] – elena.krasnobryzh | dpi:qoe:use_cases:triggers_setup [2024/09/26 15:29] (текущий) – внешнее изменение 127.0.0.1 |
|---|
| ====== triggers_setup ====== | ====== Поиск DDoS атак, BotNet и перехода на конкретный ресурс с использованием триггеров в QoE====== |
| | {{indexmenu_n>5}} |
| | |
| | [[dpi:dpi_components:dpiui:user_guide:qoe_analytics:triggers_and_notifications|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий: |
| | * уведомление в GUI |
| | * HTTP действие |
| | * отправка email |
| | \\ |
| | Необходимые опции СКАТ DPI: |
| | * [[dpi:dpi_options:opt_statistics]] |
| | * [[dpi:dpi_options:opt_notify]] |
| | Необходимые дополнительные модули: |
| | * [[dpi:dpi_components:dpiui|]] |
| | * [[dpi:dpi_components:qoestor|]] |
| | |
| | ===== Пример настройки триггера на поиск источника DDOS-атаки типа Flood ===== |
| | |
| | === Общая информация триггера === |
| | |
| | {{ dpi:qoe:use_cases:ddos_common.png?nolink&600 |}} |
| | |
| | Название триггера «DDOS поиск источника», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены. |
| | |
| | <note>Каждый день периодичностью в 1 час будет происходить проверка по условиям описанным ниже.</note> |
| | |
| | === Запросы === |
| | |
| | {{ dpi:qoe:use_cases:ddos_query.png?nolink&600 |}} |
| | |
| | * Добавить поле |
| | * Название А |
| | * Выбрать таблицу для сканирования: Raw full netflow -> Tables -> Attacks detection -> Top hosts IPs -> Maxi |
| | * Выбрать период с: «now – 15minute», период по : «now» |
| | |
| | <note>В этом случае будет происходит анализ трафика по выбранной странице в период — последние 15 минут.</note> |
| | |
| | === Условия === |
| | |
| | {{ dpi:qoe:use_cases:ddos_conditions.png?nolink&600 |}} |
| | |
| | * Добавить "+" 2 поля |
| | * Связка – И |
| | * Функция – avg |
| | * Серия в 1 поле – время жизни сессии <= 20(мс) |
| | * Серия во 2 поле – количество сессий >= 1500 |
| | |
| | <note>Мы задали условие — для срабатывания триггера необходимо, чтобы были детектированы: И сессии с жизнью меньше или равно 20мс, И с одного IP-хоста было более 1500 сессий.</note> |
| | |
| | === Обработка ошибок === |
| | |
| | {{ dpi:qoe:use_cases:ddos_error.png?nolink&600 |}} |
| | |
| | * В поле "Если нет ошибок" — нет данных |
| | * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние |
| | |
| | <note>в этой конфигурации — при отсутствии ошибок никаких данных сохраняться не будет, при их наличии — сохранится информация в виде таблицы о подозрительных сессиях.</note> |
| | |
| | === Действия === |
| | == E-mail действие == |
| | |
| | {{ dpi:qoe:use_cases:ddos_email.png?nolink&600 |}} |
| | |
| | * Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы) |
| | * В поле "Кому" — указать адрес электронной почты |
| | * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние) |
| | |
| | == Нотификация == |
| | |
| | {{ dpi:qoe:use_cases:ddos_notification.png?nolink&600 |}} |
| | |
| | * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) |
| | * Выбрать тип нотификации — "Предупреждение" |
| | * При этой настройке будет создана нотификация в СКАТ |
| | |
| | {{ dpi:qoe:use_cases:ddos_alerts.png?nolink&600 |}} |
| | |
| | Получить ссылку на отчет можно через меню нотификаций |
| | |
| | {{ dpi:qoe:use_cases:ddos_report.png?nolink&400 |}} |
| | |
| | Выбрать нотификацию |
| | Выбрать — "Детали" |
| | |
| | {{ dpi:qoe:use_cases:ddos_details.png?nolink&400 |}} |
| | |
| | Перейти по ссылке на отчет — отчет откроется в новом окне браузера. |
| | |
| | == HTTP действие == |
| | |
| | {{ dpi:qoe:use_cases:ddos_http.png?nolink&600 |}} |
| | |
| | Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) |
| | Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес |
| | |
| | <note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note> |
| | |
| | ===== Пример настройки триггера на поиск цели DDOS-атаки типа Flood ===== |
| | От предыдущего примера отличается настройкой 2 и 3 этапов (Запросы и Условия). |
| | |
| | === Запросы === |
| | |
| | {{ dpi:qoe:use_cases:ddos_target_query.png?nolink&600 |}} |
| | |
| | в поле отчет выбрать Raw full netflow -> Tables -> Attacks detection -> Top subscribers -> Maxi |
| | |
| | === Условия === |
| | |
| | {{ dpi:qoe:use_cases:ddos_target_conditions.png?nolink&600 |}} |
| | |
| | Серия — "Объем Flow к абонентам, Пак", >= 10000 |
| | |
| | <note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note> |
| | |
| | ====== Анализ BotNet ====== |
| | От предыдущего примера отличается настройкой 2 и 3 этапов (Запросы и Условия). |
| | |
| | === Запросы === |
| | |
| | {{ dpi:qoe:use_cases:botnet_query.png?nolink&600 |}} |
| | |
| | * Выбрать Raw full netflow -> Tables -> Attacks detection -> Top application protocols -> Maxi для значения "А" |
| | * Raw full network -> Tables -> Raw log -> Full raw log для значения "B" |
| | |
| | === Условия === |
| | |
| | {{ dpi:qoe:use_cases:botnet_conditions.png?nolink&600 |}} |
| | |
| | Т.к. BotNet чаще всего использует порты 6667 и 1080 — добавить каждый порт назначения/источника выбрав запрос "B" со значением "ИЛИ", и Flow Pcts/s больше или равно 2000. |
| | <note>При этой конфигурации в случае если: хоть на одном из портов (6667/1080) количество проходящих пакетов будет более 2000 в секунду — сработает триггер.</note> |
| | |
| | <note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note> |
| | |
| | ====== Фиксация перехода абонента на ресурс конкурента ====== |
| | === Общая информация триггера === |
| | |
| | {{ dpi:qoe:use_cases:competitors_common.png?nolink&600 |}} |
| | |
| | Название триггера «Интерес к конкурентам», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены. |
| | |
| | <note>Каждый день периодичностью в 1 час будет происходить проверка по условиям описанным ниже.</note> |
| | |
| | === Запросы === |
| | |
| | {{ dpi:qoe:use_cases:competitors_query.png?nolink&600 |}} |
| | |
| | * Добавить "+" поле |
| | * Название А \\ Выбрать таблицу для сканирования: Raw clickstream -> Tables -> Raw clickstream |
| | * Название B \\ Выбрать таблицу для сканирования: Raw full netflow -> Tables -> Attacks detection -> Top hosts IPs -> Maxi |
| | * Выбрать период с: «now – 1 hour», период по : «now» |
| | * В этом случае будет происходит анализ трафика каждый час по выбранным таблицам. |
| | |
| | === Условия === |
| | |
| | {{ dpi:qoe:use_cases:competitors_conditions.png?nolink&600 |}} |
| | |
| | * Добавить "+" поле 3 поля |
| | * Первое поле — выбрать таблицу "А"; Связка – "Или"; Функция – "avg";Серия Host = *megafon.ru(или ваш любимый конкурент) |
| | * Второе поле — выбрать таблицу "Б"; связка "И"; Функция – "avg";Серия Flow volume from subscriber, Pct/s >= 800 |
| | |
| | <note>мы задали условие — для срабатывания триггера необходимо, чтобы было детектировано: не менее 800 пакетов (не случайный а осмысленный переход) от абонента к сайту конкурента.</note> |
| | |
| | === Обработка ошибок === |
| | |
| | {{ dpi:qoe:use_cases:competitors_errors.png?nolink&600 |}} |
| | |
| | * В поле "Если нет ошибок" — нет данных |
| | * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние. |
| | |
| | <note>В этой конфигурации — при отсутствии ошибок никаких данных сохраняться не будет, при их наличии — сохранится информация в виде таблицы о подозрительных сессиях.</note> |
| | |
| | === Действия === |
| | == E-mail действие == |
| | |
| | {{ dpi:qoe:use_cases:competitors_email.png?nolink&600 |}} |
| | |
| | * Для автоматического заполнения — кликнуть (автоматическое заполнение формы) |
| | * В поле "Кому" — указать адрес электронной почты |
| | |
| | <note>При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние).</note> |
| | |
| | == Нотификация == |
| | |
| | {{ dpi:qoe:use_cases:competitors_notifications.png?nolink&600 |}} |
| | |
| | * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) |
| | * Выбрать тип нотификации — "Предупреждение" |
| | * При этой настройке будет создана нотификация в СКАТ |
| | |
| | {{ dpi:qoe:use_cases:competitors_alerts.png?nolink&600 |}} |
| | |
| | Получить ссылку на отчет можно через меню нотификаций |
| | |
| | {{ dpi:qoe:use_cases:competitors_report.png?nolink&400 |}} |
| | |
| | Выбрать нотификацию |
| | Выбрать — "Детали" |
| | |
| | {{ dpi:qoe:use_cases:competitors_details.png?nolink&400 |}} |
| | |
| | Перейти по ссылке на отчет — отчет откроется в новом окне браузера. |
| | |
| | == HTTP действие == |
| | |
| | {{ dpi:qoe:use_cases:competitors_http.png?nolink&600 |}} |
| | |
| | * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) |
| | * Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес |
| | |
| | <note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note> |
