Различия

Показаны различия между двумя версиями страницы.

--- dpi:qoe_analytics:cases:network_health:flood [2026/02/16 08:08] – создано elena.krasnobryzh
+++ dpi:qoe_analytics:cases:network_health:flood [2026/02/16 08:21] (текущий) – elena.krasnobryzh
@@ Строка 19: / Строка 19: @@
   * ''netflow_rate_limit=900''' – ограничение потока IPFIX.
   * ''netflow_full_collector=10.0.0.0:1500'' – адрес коллектора со статистикой – указать корректный IP QoE.
   * ''netflow_passive_timeout=5'' – время ожидания активности в сессии после которого, если не было активности, сессия считается завершенной и происходит передача по ней информации.
   * ''netflow_active_timeout=20'' – время, через которое сообщается информация по длинным сессиям (т.е. фактически длинные сессии разбиваются на фрагменты данной продолжительности).
-  * ''netflow_full_collector_type=2''  – экспорт IPFIX на TCP коллектор.
+  * ''netflow_full_collector_type=2'' – экспорт IPFIX на TCP коллектор.
   * ''ipfix_reserved=1'' – позволяет зарезервировать необходимую память для возможности включения/изменения параметров IPFIX/Netflow.
@@ Строка 32: / Строка 32: @@
   - Укажите временные рамки:\\ {{:dpi:qoe_analytics:cases:network_health:flood_2.png?direct&800|}}
   - Добавьте фильтр по направлению трафика – От абонента:\\ {{:dpi:qoe_analytics:cases:network_health:flood_3.png?direct&700|}}
-  - Нажмите на колонку Flow для более удобной сортировки\\ \\ Найденные IP абонентов источников flood необходимо добавить в локальную AS (см. раздел 3.1)
+  - Нажмите на колонку Flow для более удобной сортировки\\ \\ Найденные IP абонентов источников flood необходимо добавить в локальную AS ([[dpi:qoe_analytics:cases:network_health:flood#создание_локальной_as_пример_для_ipv4|см. раздел 3.1]])
+====Поиск хостов с высоким количеством flow в секунду====
+  - Откройте отчет QoE аналитика → Сырой полный нетфлоу → Обнаружение атак → Топ IP-адресов хостов → По флоу:\\ {{:dpi:qoe_analytics:cases:network_health:flood_4.png?direct&1100|}}
+  - Укажите временные рамки.
+  - Добавьте фильтр по направлению трафика – От абонента.
+  - Нажмите на колонку Flow для более удобной сортировки.\\ Найденные IP хостов необходимо добавить в локальную AS ([[dpi:qoe_analytics:cases:network_health:flood#создание_локальной_as_пример_для_ipv4|см. раздел 3.1]])
+=====3. Блокировка IP с помещением в автономную систему=====
+====Создание локальной AS (пример для IPv4)====
+  - Создайте копию /etc/dpi/aslocal.bin:<code>cp /etc/dpi/aslocal.bin /etc/dpi/aslocal.bin.backup</code>
+  - Сконвертировать aslocal.bin в TXT файл утилитой bin2as<code>bin2as /etc/dpi/aslocal.bin > /etc/dpi/list.txt</code>Либо если файл aslocal.bin отсутствует в /etc/dpi/, создайте:<code>vi /etc/dpi/list.txt</code>
+  - Добавить в list.txt записи вида (CIDR <пробел> номер_AS):<code>10.0.0.1/32 64525
+.16.0.0/12 64525
+.168.0.0/16 64525</code>Где ''64525'' - AS которую в дальнейшем будет необходимо заблокировать
+  - Сконвертировать список CIDR-ASN из TXT в BIN при помощи утилиты as2bin:<code>cat /etc/dpi/list.txt | as2bin /etc/dpi/aslocal.bin</code>
+  - Выполнить релоад сервиса (горячий параметр):<code>service fastdpi reload</code>
+<note>[[dpi:dpi_options:opt_statistics:statistics_asn |Подробнее о подготовке списков aslocal]]</note>
+====Назначение правила drop для локальной AS====
+  - Создайте копию файла asnum.dscp:<code>cp /etc/dpi/asnum.dscp /etc/dpi/asnum.dscp.backup</code>
+  - Сконвертировать asnum.dscp в TXT утилитой dscp2as:<code>dscp2as /etc/dpi/asnum.dscp > /etc/dpi/asnum.txt</code>
+  - Добавить в файл asnum.txt записи вида номер_AS <пробел> drop к уже существующим записям:<code>64525 drop</code>
+  - Сконвертировать TXT в формат утилитой as2dscp:<code>cat /etc/dpi/asnum.txt | as2dscp /etc/dpi/asnum.dscp</code>
+  - Выполнить релоад сервиса (горячий параметр):<code>service fastdpi reload</code>
+<note>[[dpi:dpi_options:opt_priority:priority_config_as|Подробнее о назначении DSCP для ASN]]</note>

Аккаунт

Настройки

Различия