{{indexmenu_n>3}}
====== Поиск DDoS атак, BotNet и перехода на конкретный ресурс с использованием триггеров в QoE======

[[dpi:qoe_analytics:qoe_gui:offline_analytics:triggers_and_notifications|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий:
  * уведомление в GUI
  * HTTP действие
  * отправка email

Необходимые опции СКАТ DPI:
  * [[dpi:dpi_options:opt_statistics]]
  * [[dpi:dpi_options:opt_notify]]
Необходимые дополнительные модули:
  * [[dpi:dpi_components:dpiui|]]
  * [[dpi:qoe_analytics:implementation_administration|]]

===== Пример настройки триггера на поиск источника DDOS-атаки типа Flood =====

=== Общая информация триггера ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_common.png?600 |}}

Название триггера «DDoS поиск источника», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены.

<note>Каждый день периодичностью в 1 час будет происходить проверка по условиям описанным ниже.</note>

=== Запросы ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_query.png?600 |}}

  * Добавить поле
  * Название А
  * Выбрать таблицу для сканирования: Сырой полный нетфлоу → Таблицы → Обнаружение атак → Топ IP-адресов хостов → Maxi
  * Выбрать период с: «сейчас - 15 минут»,  период по: «сейчас»

<note>В этом случае будет происходит анализ трафика по выбранной странице в период — последние 15 минут.</note>

=== Условия ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_conditions.png?600 |}}

  * Добавить "+" 2 поля
  * Связка – И
  * Функция – avg
  * Серия в 1 поле – Время жизни сессии, мс <= 20
  * Серия во 2 поле – Сессии >= 1500

<note>Мы задали условие — для срабатывания триггера необходимо, чтобы были детектированы: И сессии с жизнью меньше или равно 20мс, И с одного IP-хоста было более 1500 сессий.</note>

=== Обработка ошибок ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_error.png?600 |}}

  * В поле "Если нет данных" — нет данных
  * В поле "Если есть ошибка или тайм-аут" — сохранить последнее состояние

<note>в этой конфигурации — при отсутствии ошибок никаких данных сохраняться не будет, при их наличии — сохранится информация в виде таблицы о подозрительных сессиях.</note>

=== Действия ===
== E-mail действие ==

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_email.png?600 |}}

  * Для автоматического заполнения — кликнуть по иконке {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
  * В поле "Кому" — указать адрес электронной почты
  * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние)

== Нотификация ==

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_notification.png?600 |}}

  * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
  * Выбрать тип нотификации — "Предупреждение"
  * При этой настройке будет создана нотификация в СКАТ

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_alerts.png?600 |}}

Получить ссылку на отчет можно через меню нотификаций

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_report.png?400 |}}

Выбрать нотификацию
Выбрать — "Детали"

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_details.png?400 |}}

Перейти по ссылке на отчет — отчет откроется в новом окне браузера.

== HTTP действие ==

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_http.png?600 |}}

Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес

<note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note>

===== Пример настройки триггера на поиск цели DDOS-атаки типа Flood =====
От предыдущего примера отличается настройкой 2 и 3 этапов (Запросы и Условия).

=== Запросы ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_target_query.png?600 |}}

в поле отчет выбрать Сырой полный нетфлоу → Таблицы → Обнаружение атак → Топ абонентов → Maxi

=== Условия ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_target_conditions.png?600 |}}

Серия — "Объем Flow к абонентам, Пак", >= 10000

<note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note>

====== Анализ BotNet ======
От предыдущего примера отличается настройкой 2 и 3 этапов (Запросы и Условия).

=== Запросы ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:botnet_query.png?600 |}}

  * Выбрать Сырой полный нетфлоу → Таблицы → Обнаружение атак → Топ прикладных протоколов → Maxi для значения "А"
  * Сырой полный нетфлоу → Сырой лог → Полный сырой лог для значения "B"

=== Условия ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:botnet_conditions.png?600 |}}

Т.к. BotNet чаще всего использует порты 6667 и 1080 — добавить каждый порт назначения/источника выбрав запрос "B" со значением "ИЛИ", и Флоу больше или равно 2000.
<note>При этой конфигурации в случае если: хоть на одном из портов (6667/1080) количество проходящих пакетов будет более 2000 в секунду — сработает триггер.</note>

<note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note>

====== Фиксация перехода абонента на ресурс конкурента ======
=== Общая информация триггера ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_common.png?600 |}}

Название триггера «Интерес к конкурентам», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены.

<note>Каждый день периодичностью в 1 час будет происходить проверка по условиям описанным ниже.</note>

=== Запросы === 

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_query.png?600 |}}

  * Добавить "+" поле
  * Название А \\ Выбрать таблицу для сканирования: Сырой кликстрим → Таблицы → Сырой кликстрим
  * Название B \\ Выбрать таблицу для сканирования: Сырой полный нетфлоу → Таблицы → Обнаружение атак → Топ IP-адресов хостов → Maxi
  * Выбрать период с: «сейчас - 1 час»,  период по : «сейчас»
  * В этом случае будет происходит анализ трафика каждый час по выбранным таблицам.

=== Условия ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_conditions.png?600 |}}

  * Добавить "+" 3 поля
  * Первое поле — выбрать таблицу "А"; Связка – "Или"; Функция – "avg"; Серия Хост = *megafon.ru (или ваш любимый конкурент)
  * Второе поле — выбрать таблицу "B"; связка "И";  Функция – "avg"; Серия Объем флоу от абонентов >= 800
  * Третье поле — выбрать таблицу "А"; Связка – "Или"; Функция – "avg"; Серия Хост = *mts.ru

<note>Мы задали условие — для срабатывания триггера необходимо, чтобы было детектировано: не менее 800 пакетов (не случайный а осмысленный переход) от абонента к сайту конкурента.</note>

=== Обработка ошибок ===

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_error.png?600 |}}

  * В поле "Если нет данных" — Нет данных
  * В поле "Если ошибка выполнения или тайм-аут" — Сохранить последнее состояние.

<note>В этой конфигурации — при отсутствии ошибок никаких данных сохраняться не будет, при их наличии — сохранится информация в виде таблицы о подозрительных сессиях.</note>

=== Действия ===
== E-mail действие ==

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_email.png?600 |}}

  * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
  * В поле "Кому" — указать адрес электронной почты

<note>При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние).</note>

== Нотификация ==

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_notification.png?600 |}}

  * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
  * Выбрать тип нотификации — "Предупреждение"
  * При этой настройке будет создана нотификация в СКАТ

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_alerts.png?600 |}}

Получить ссылку на отчет можно через меню нотификаций

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_report.png?400 |}}

Выбрать нотификацию
Выбрать — "Детали"

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:competitors_details.png?400 |}}

Перейти по ссылке на отчет — отчет откроется в новом окне браузера.

== HTTP действие ==

{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_http.png?600 |}}

  * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
  * Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес

<note important>Стоит понимать — значение количества устанавливаемых сессий, количества входящих пакетов и т.д. приведены усредненно. Более точная настройка должна производиться с учетом особенностей вашей сети.</note>