| Следующая версия | Предыдущая версия |
| dpi:qoe_analytics:cases:network_health:triggers_setup [2025/07/29 08:02] – создано elena.krasnobryzh | dpi:qoe_analytics:cases:network_health:triggers_setup [2025/12/11 09:00] (текущий) – [Фиксация перехода абонента на ресурс конкурента] elena.krasnobryzh |
|---|
| ====== Поиск DDoS атак, BotNet и перехода на конкретный ресурс с использованием триггеров в QoE====== | ====== Поиск DDoS атак, BotNet и перехода на конкретный ресурс с использованием триггеров в QoE====== |
| |
| [[dpi:dpi_components:dpiui:user_guide:qoe_analytics:triggers_and_notifications|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий: | [[dpi:qoe_analytics:qoe_gui:offline_analytics:triggers_and_notifications|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий: |
| * уведомление в GUI | * уведомление в GUI |
| * HTTP действие | * HTTP действие |
| * отправка email | * отправка email |
| \\ | |
| Необходимые опции СКАТ DPI: | Необходимые опции СКАТ DPI: |
| * [[dpi:dpi_options:opt_statistics]] | * [[dpi:dpi_options:opt_statistics]] |
| Необходимые дополнительные модули: | Необходимые дополнительные модули: |
| * [[dpi:dpi_components:dpiui|]] | * [[dpi:dpi_components:dpiui|]] |
| * [[dpi:dpi_components:qoestor|]] | * [[dpi:qoe_analytics:implementation_administration|]] |
| |
| ===== Пример настройки триггера на поиск источника DDOS-атаки типа Flood ===== | ===== Пример настройки триггера на поиск источника DDOS-атаки типа Flood ===== |
| === Общая информация триггера === | === Общая информация триггера === |
| |
| {{ dpi:qoe:use_cases:ddos_common.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_common.png?600 |}} |
| |
| Название триггера «DDOS поиск источника», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены. | Название триггера «DDoS поиск источника», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены. |
| |
| <note>Каждый день периодичностью в 1 час будет происходить проверка по условиям описанным ниже.</note> | <note>Каждый день периодичностью в 1 час будет происходить проверка по условиям описанным ниже.</note> |
| === Запросы === | === Запросы === |
| |
| {{ dpi:qoe:use_cases:ddos_query.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_query.png?600 |}} |
| |
| * Добавить поле | * Добавить поле |
| * Название А | * Название А |
| * Выбрать таблицу для сканирования: Raw full netflow -> Tables -> Attacks detection -> Top hosts IPs -> Maxi | * Выбрать таблицу для сканирования: Сырой полный нетфлоу → Таблицы → Обнаружение атак → Топ IP-адресов хостов → Maxi |
| * Выбрать период с: «now – 15minute», период по : «now» | * Выбрать период с: «сейчас - 15 минут», период по: «сейчас» |
| |
| <note>В этом случае будет происходит анализ трафика по выбранной странице в период — последние 15 минут.</note> | <note>В этом случае будет происходит анализ трафика по выбранной странице в период — последние 15 минут.</note> |
| === Условия === | === Условия === |
| |
| {{ dpi:qoe:use_cases:ddos_conditions.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_conditions.png?600 |}} |
| |
| * Добавить "+" 2 поля | * Добавить "+" 2 поля |
| * Связка – И | * Связка – И |
| * Функция – avg | * Функция – avg |
| * Серия в 1 поле – время жизни сессии <= 20(мс) | * Серия в 1 поле – Время жизни сессии, мс <= 20 |
| * Серия во 2 поле – количество сессий >= 1500 | * Серия во 2 поле – Сессии >= 1500 |
| |
| <note>Мы задали условие — для срабатывания триггера необходимо, чтобы были детектированы: И сессии с жизнью меньше или равно 20мс, И с одного IP-хоста было более 1500 сессий.</note> | <note>Мы задали условие — для срабатывания триггера необходимо, чтобы были детектированы: И сессии с жизнью меньше или равно 20мс, И с одного IP-хоста было более 1500 сессий.</note> |
| === Обработка ошибок === | === Обработка ошибок === |
| |
| {{ dpi:qoe:use_cases:ddos_error.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_error.png?600 |}} |
| |
| * В поле "Если нет ошибок" — нет данных | * В поле "Если нет данных" — нет данных |
| * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние | * В поле "Если есть ошибка или тайм-аут" — сохранить последнее состояние |
| |
| <note>в этой конфигурации — при отсутствии ошибок никаких данных сохраняться не будет, при их наличии — сохранится информация в виде таблицы о подозрительных сессиях.</note> | <note>в этой конфигурации — при отсутствии ошибок никаких данных сохраняться не будет, при их наличии — сохранится информация в виде таблицы о подозрительных сессиях.</note> |
| == E-mail действие == | == E-mail действие == |
| |
| {{ dpi:qoe:use_cases:ddos_email.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_email.png?600 |}} |
| |
| * Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы) | * Для автоматического заполнения — кликнуть по иконке {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы) |
| * В поле "Кому" — указать адрес электронной почты | * В поле "Кому" — указать адрес электронной почты |
| * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние) | * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние) |
| == Нотификация == | == Нотификация == |
| |
| {{ dpi:qoe:use_cases:ddos_notification.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_notification.png?600 |}} |
| |
| * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) | * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы) |
| * Выбрать тип нотификации — "Предупреждение" | * Выбрать тип нотификации — "Предупреждение" |
| * При этой настройке будет создана нотификация в СКАТ | * При этой настройке будет создана нотификация в СКАТ |
| |
| {{ dpi:qoe:use_cases:ddos_alerts.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_alerts.png?600 |}} |
| |
| Получить ссылку на отчет можно через меню нотификаций | Получить ссылку на отчет можно через меню нотификаций |
| |
| {{ dpi:qoe:use_cases:ddos_report.png?nolink&400 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_report.png?400 |}} |
| |
| Выбрать нотификацию | Выбрать нотификацию |
| Выбрать — "Детали" | Выбрать — "Детали" |
| |
| {{ dpi:qoe:use_cases:ddos_details.png?nolink&400 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_details.png?400 |}} |
| |
| Перейти по ссылке на отчет — отчет откроется в новом окне браузера. | Перейти по ссылке на отчет — отчет откроется в новом окне браузера. |
| == HTTP действие == | == HTTP действие == |
| |
| {{ dpi:qoe:use_cases:ddos_http.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_http.png?600 |}} |
| |
| Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) | Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы) |
| Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес | Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес |
| |
| === Запросы === | === Запросы === |
| |
| {{ dpi:qoe:use_cases:ddos_target_query.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_target_query.png?600 |}} |
| |
| в поле отчет выбрать Raw full netflow -> Tables -> Attacks detection -> Top subscribers -> Maxi | в поле отчет выбрать Сырой полный нетфлоу → Таблицы → Обнаружение атак → Топ абонентов → Maxi |
| |
| === Условия === | === Условия === |
| |
| {{ dpi:qoe:use_cases:ddos_target_conditions.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_target_conditions.png?600 |}} |
| |
| Серия — "Объем Flow к абонентам, Пак", >= 10000 | Серия — "Объем Flow к абонентам, Пак", >= 10000 |
| === Запросы === | === Запросы === |
| |
| {{ dpi:qoe:use_cases:botnet_query.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:botnet_query.png?600 |}} |
| |
| * Выбрать Raw full netflow -> Tables -> Attacks detection -> Top application protocols -> Maxi для значения "А" | * Выбрать Сырой полный нетфлоу → Таблицы → Обнаружение атак → Топ прикладных протоколов → Maxi для значения "А" |
| * Raw full network -> Tables -> Raw log -> Full raw log для значения "B" | * Сырой полный нетфлоу → Сырой лог → Полный сырой лог для значения "B" |
| |
| === Условия === | === Условия === |
| |
| {{ dpi:qoe:use_cases:botnet_conditions.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:botnet_conditions.png?600 |}} |
| |
| Т.к. BotNet чаще всего использует порты 6667 и 1080 — добавить каждый порт назначения/источника выбрав запрос "B" со значением "ИЛИ", и Flow Pcts/s больше или равно 2000. | Т.к. BotNet чаще всего использует порты 6667 и 1080 — добавить каждый порт назначения/источника выбрав запрос "B" со значением "ИЛИ", и Флоу больше или равно 2000. |
| <note>При этой конфигурации в случае если: хоть на одном из портов (6667/1080) количество проходящих пакетов будет более 2000 в секунду — сработает триггер.</note> | <note>При этой конфигурации в случае если: хоть на одном из портов (6667/1080) количество проходящих пакетов будет более 2000 в секунду — сработает триггер.</note> |
| |
| === Общая информация триггера === | === Общая информация триггера === |
| |
| {{ dpi:qoe:use_cases:competitors_common.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_common.png?600 |}} |
| |
| Название триггера «Интерес к конкурентам», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены. | Название триггера «Интерес к конкурентам», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены. |
| === Запросы === | === Запросы === |
| |
| {{ dpi:qoe:use_cases:competitors_query.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_query.png?600 |}} |
| |
| * Добавить "+" поле | * Добавить "+" поле |
| * Название А \\ Выбрать таблицу для сканирования: Raw clickstream -> Tables -> Raw clickstream | * Название А \\ Выбрать таблицу для сканирования: Сырой кликстрим → Таблицы → Сырой кликстрим |
| * Название B \\ Выбрать таблицу для сканирования: Raw full netflow -> Tables -> Attacks detection -> Top hosts IPs -> Maxi | * Название B \\ Выбрать таблицу для сканирования: Сырой полный нетфлоу → Таблицы → Обнаружение атак → Топ IP-адресов хостов → Maxi |
| * Выбрать период с: «now – 1 hour», период по : «now» | * Выбрать период с: «сейчас - 1 час», период по : «сейчас» |
| * В этом случае будет происходит анализ трафика каждый час по выбранным таблицам. | * В этом случае будет происходит анализ трафика каждый час по выбранным таблицам. |
| |
| === Условия === | === Условия === |
| |
| {{ dpi:qoe:use_cases:competitors_conditions.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_conditions.png?600 |}} |
| |
| * Добавить "+" поле 3 поля | * Добавить "+" 3 поля |
| * Первое поле — выбрать таблицу "А"; Связка – "Или"; Функция – "avg";Серия Host = *megafon.ru(или ваш любимый конкурент) | * Первое поле — выбрать таблицу "А"; Связка – "Или"; Функция – "avg"; Серия Хост = *megafon.ru (или ваш любимый конкурент) |
| * Второе поле — выбрать таблицу "Б"; связка "И"; Функция – "avg";Серия Flow volume from subscriber, Pct/s >= 800 | * Второе поле — выбрать таблицу "B"; связка "И"; Функция – "avg"; Серия Объем флоу от абонентов >= 800 |
| | * Третье поле — выбрать таблицу "А"; Связка – "Или"; Функция – "avg"; Серия Хост = *mts.ru |
| |
| <note>мы задали условие — для срабатывания триггера необходимо, чтобы было детектировано: не менее 800 пакетов (не случайный а осмысленный переход) от абонента к сайту конкурента.</note> | <note>Мы задали условие — для срабатывания триггера необходимо, чтобы было детектировано: не менее 800 пакетов (не случайный а осмысленный переход) от абонента к сайту конкурента.</note> |
| |
| === Обработка ошибок === | === Обработка ошибок === |
| |
| {{ dpi:qoe:use_cases:competitors_errors.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_error.png?600 |}} |
| |
| * В поле "Если нет ошибок" — нет данных | * В поле "Если нет данных" — Нет данных |
| * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние. | * В поле "Если ошибка выполнения или тайм-аут" — Сохранить последнее состояние. |
| |
| <note>В этой конфигурации — при отсутствии ошибок никаких данных сохраняться не будет, при их наличии — сохранится информация в виде таблицы о подозрительных сессиях.</note> | <note>В этой конфигурации — при отсутствии ошибок никаких данных сохраняться не будет, при их наличии — сохранится информация в виде таблицы о подозрительных сессиях.</note> |
| == E-mail действие == | == E-mail действие == |
| |
| {{ dpi:qoe:use_cases:competitors_email.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_email.png?600 |}} |
| |
| * Для автоматического заполнения — кликнуть (автоматическое заполнение формы) | * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы) |
| * В поле "Кому" — указать адрес электронной почты | * В поле "Кому" — указать адрес электронной почты |
| |
| == Нотификация == | == Нотификация == |
| |
| {{ dpi:qoe:use_cases:competitors_notifications.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_notification.png?600 |}} |
| |
| * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) | * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы) |
| * Выбрать тип нотификации — "Предупреждение" | * Выбрать тип нотификации — "Предупреждение" |
| * При этой настройке будет создана нотификация в СКАТ | * При этой настройке будет создана нотификация в СКАТ |
| |
| {{ dpi:qoe:use_cases:competitors_alerts.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_alerts.png?600 |}} |
| |
| Получить ссылку на отчет можно через меню нотификаций | Получить ссылку на отчет можно через меню нотификаций |
| |
| {{ dpi:qoe:use_cases:competitors_report.png?nolink&400 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_report.png?400 |}} |
| |
| Выбрать нотификацию | Выбрать нотификацию |
| Выбрать — "Детали" | Выбрать — "Детали" |
| |
| {{ dpi:qoe:use_cases:competitors_details.png?nolink&400 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_details.png?400 |}} |
| |
| Перейти по ссылке на отчет — отчет откроется в новом окне браузера. | Перейти по ссылке на отчет — отчет откроется в новом окне браузера. |
| == HTTP действие == | == HTTP действие == |
| |
| {{ dpi:qoe:use_cases:competitors_http.png?nolink&600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_http.png?600 |}} |
| |
| * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) | * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы) |
| * Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес | * Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес |
| |
| <note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note> | <note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note> |
| |
