| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:qoe_analytics:cases:network_health:triggers_setup [2025/12/11 08:46] – [Пример настройки триггера на поиск цели DDOS-атаки типа Flood] elena.krasnobryzh | dpi:qoe_analytics:cases:network_health:triggers_setup [2025/12/11 09:00] (текущий) – [Фиксация перехода абонента на ресурс конкурента] elena.krasnobryzh |
|---|
| {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:botnet_query.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:botnet_query.png?600 |}} |
| |
| * Выбрать Raw full netflow -> Tables -> Attacks detection -> Top application protocols -> Maxi для значения "А" | * Выбрать Сырой полный нетфлоу → Таблицы → Обнаружение атак → Топ прикладных протоколов → Maxi для значения "А" |
| * Raw full network -> Tables -> Raw log -> Full raw log для значения "B" | * Сырой полный нетфлоу → Сырой лог → Полный сырой лог для значения "B" |
| |
| === Условия === | === Условия === |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:botnet_conditions.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:botnet_conditions.png?600 |}} |
| |
| Т.к. BotNet чаще всего использует порты 6667 и 1080 — добавить каждый порт назначения/источника выбрав запрос "B" со значением "ИЛИ", и Flow Pcts/s больше или равно 2000. | Т.к. BotNet чаще всего использует порты 6667 и 1080 — добавить каждый порт назначения/источника выбрав запрос "B" со значением "ИЛИ", и Флоу больше или равно 2000. |
| <note>При этой конфигурации в случае если: хоть на одном из портов (6667/1080) количество проходящих пакетов будет более 2000 в секунду — сработает триггер.</note> | <note>При этой конфигурации в случае если: хоть на одном из портов (6667/1080) количество проходящих пакетов будет более 2000 в секунду — сработает триггер.</note> |
| |
| |
| * Добавить "+" поле | * Добавить "+" поле |
| * Название А \\ Выбрать таблицу для сканирования: Raw clickstream -> Tables -> Raw clickstream | * Название А \\ Выбрать таблицу для сканирования: Сырой кликстрим → Таблицы → Сырой кликстрим |
| * Название B \\ Выбрать таблицу для сканирования: Raw full netflow -> Tables -> Attacks detection -> Top hosts IPs -> Maxi | * Название B \\ Выбрать таблицу для сканирования: Сырой полный нетфлоу → Таблицы → Обнаружение атак → Топ IP-адресов хостов → Maxi |
| * Выбрать период с: «now – 1 hour», период по : «now» | * Выбрать период с: «сейчас - 1 час», период по : «сейчас» |
| * В этом случае будет происходит анализ трафика каждый час по выбранным таблицам. | * В этом случае будет происходит анализ трафика каждый час по выбранным таблицам. |
| |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_conditions.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_conditions.png?600 |}} |
| |
| * Добавить "+" поле 3 поля | * Добавить "+" 3 поля |
| * Первое поле — выбрать таблицу "А"; Связка – "Или"; Функция – "avg";Серия Host = *megafon.ru(или ваш любимый конкурент) | * Первое поле — выбрать таблицу "А"; Связка – "Или"; Функция – "avg"; Серия Хост = *megafon.ru (или ваш любимый конкурент) |
| * Второе поле — выбрать таблицу "Б"; связка "И"; Функция – "avg";Серия Flow volume from subscriber, Pct/s >= 800 | * Второе поле — выбрать таблицу "B"; связка "И"; Функция – "avg"; Серия Объем флоу от абонентов >= 800 |
| | * Третье поле — выбрать таблицу "А"; Связка – "Или"; Функция – "avg"; Серия Хост = *mts.ru |
| |
| <note>мы задали условие — для срабатывания триггера необходимо, чтобы было детектировано: не менее 800 пакетов (не случайный а осмысленный переход) от абонента к сайту конкурента.</note> | <note>Мы задали условие — для срабатывания триггера необходимо, чтобы было детектировано: не менее 800 пакетов (не случайный а осмысленный переход) от абонента к сайту конкурента.</note> |
| |
| === Обработка ошибок === | === Обработка ошибок === |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_error.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_error.png?600 |}} |
| |
| * В поле "Если нет ошибок" — нет данных | * В поле "Если нет данных" — Нет данных |
| * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние. | * В поле "Если ошибка выполнения или тайм-аут" — Сохранить последнее состояние. |
| |
| <note>В этой конфигурации — при отсутствии ошибок никаких данных сохраняться не будет, при их наличии — сохранится информация в виде таблицы о подозрительных сессиях.</note> | <note>В этой конфигурации — при отсутствии ошибок никаких данных сохраняться не будет, при их наличии — сохранится информация в виде таблицы о подозрительных сессиях.</note> |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_email.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_email.png?600 |}} |
| |
| * Для автоматического заполнения — кликнуть (автоматическое заполнение формы) | * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы) |
| * В поле "Кому" — указать адрес электронной почты | * В поле "Кому" — указать адрес электронной почты |
| |
