Содержание

Работа с NAT Flow. Как найти абонента за NAT

Для работы данной функциональности необходимы следующие компоненты:
  1. Модуль QoE Stor
  2. Интерфейс управления СКАТ DPI

Лицензии:

  • СКАТ: CG-NAT — Трансляция сетевых адресов и выгрузка статистики в формате IPFIX
  • QoE: Cбор статистики NAT Flow, сжатие, пользовательские фильтры

Описание настройки NAT Flow в QoE: Конфигурация NAT Flow

Пример работы с abuse letters

Ищем конкретного абонента, на которого пришел внешний abuse.
В письме с abuse, как правило, приведен "белый" адрес из NAT-пула, требуется понять кто из абонентов в известное время за этим NAT-пулом ходил на ресурс, где зафиксирована вирусная активность.
Нужно сделать 2 шага — найти в abuse письме необходимые признаки и по ним в GUI СКАТ идентифицировать абонента.

Шаг 1. Ищем в письме

  1. Адрес из своего NAT-пула (source IP).
  2. Адрес атакуемого ресурса (destination IP)
  3. Время активности на атакуемом ресурсе (с учетом часовых поясов!)

Еще из полезного в письме может быть:

  1. Причина abuse
  2. История abuse (если активность была неоднократной)

Это может помочь понять масштаб проблемы и выявлять аналогичные проблемы в сети.

Шаг 2. Ищем активность абонента в GUI СКАТ

Задача — определить по логам, какой абонент за NAT-пулом (source IP), указанным в письме, в это время обращался к адресу destination IP.

Перед началом поиска стоит проверить 2 факта:

  1. Данный NAT-пул заведен на CG-NAT СКАТ.
  2. Время хранения логов NAT захватывает время abuse-активности. Посмотреть и настроить

Далее в GUI СКАТ необходимо открыть раздел NAT flow, выбрать период, завести source и destination IP.

С найденным абонентом нужно произвести необходимые действия для профилактики дальнейших abuse.