======Работа с NAT Flow. Как найти абонента за NAT======
{{indexmenu_n>6}}

<note tip>Для работы данной функциональности необходимы следующие **компоненты**: 
  - [[dpi:dpi_components:qoestor|Модуль QoE Stor]] 
  - [[dpi:dpi_components:dpiui|Интерфейс управления СКАТ DPI]] 
**Лицензии**: 
  * СКАТ: CG-NAT — Трансляция сетевых адресов и выгрузка статистики в формате IPFIX 
  * QoE: Cбор статистики NAT Flow, сжатие, пользовательские фильтры
Описание настройки NAT Flow в QoE: [[dpi:dpi_components:qoestor:configuration:nat_flow]]</note>

=====Пример работы с abuse letters=====
Ищем конкретного абонента, на которого пришел внешний abuse.\\ 
В письме с abuse, как правило, приведен "белый" адрес из NAT-пула, требуется понять кто из абонентов в известное время за этим NAT-пулом ходил на ресурс, где зафиксирована вирусная активность.\\
Нужно сделать **2 шага** — найти в abuse письме необходимые признаки и по ним в GUI СКАТ идентифицировать абонента.

==== Шаг 1. Ищем в письме ====
  - Адрес из своего NAT-пула (source IP).
  - Адрес атакуемого ресурса (destination IP)
  - Время активности на атакуемом ресурсе //(с учетом часовых поясов!)//

  * **Пример 1.** \\ {{dpi:opt_cgnat:cgnat_faq:email-ex-1.png?nolink&600|}}

  * ** Пример 2.** \\ {{dpi:opt_cgnat:cgnat_faq:email-ex-2.png?nolink&600|}}

Еще из полезного в письме может быть:
  - Причина abuse \\ {{dpi:opt_cgnat:cgnat_faq:email-abuse-type.png?nolink&600|}}
  - История abuse (если активность была неоднократной) \\ {{dpi:opt_cgnat:cgnat_faq:email-abuse-logs.png?nolink&600|}}

Это может помочь понять масштаб проблемы и выявлять аналогичные проблемы в сети.

==== Шаг 2. Ищем активность абонента в GUI СКАТ ====
Задача — определить по логам, какой абонент за NAT-пулом (source IP), указанным в письме, в это время обращался к адресу destination IP.

Перед началом поиска стоит проверить 2 факта:
  - Данный NAT-пул заведен на CG-NAT СКАТ. \\ {{dpi:opt_cgnat:cgnat_faq:nat_pool.png?direct&600|}}
  - Время хранения логов NAT захватывает время abuse-активности. Посмотреть и настроить \\ {{dpi:opt_cgnat:cgnat_faq:nat_log_lifetime.png?direct&600|}}

Далее в GUI СКАТ необходимо открыть раздел NAT flow, выбрать период, завести source и destination IP. \\
  * {{dpi:opt_cgnat:cgnat_faq:nat_flow_src_dest_1.png?direct&600|}}

  * {{dpi:opt_cgnat:cgnat_faq:nat_flow_src_dest_2.png?direct&600|}}
<note>С найденным абонентом нужно произвести необходимые действия для профилактики дальнейших abuse.</note>