Работа с NAT Flow. Как найти абонента за NAT
Лицензии:
- СКАТ: CG-NAT — Трансляция сетевых адресов и выгрузка статистики в формате IPFIX
- QoE: Cбор статистики NAT Flow, сжатие, пользовательские фильтры
Описание настройки NAT Flow в QoE: Конфигурация NAT Flow
Пример работы с abuse letters
Ищем конкретного абонента, на которого пришел внешний abuse.
В письме с abuse, как правило, приведен "белый" адрес из NAT-пула, требуется понять кто из абонентов в известное время за этим NAT-пулом ходил на ресурс, где зафиксирована вирусная активность.
Нужно сделать 2 шага — найти в abuse письме необходимые признаки и по ним в GUI СКАТ идентифицировать абонента.
Шаг 1. Ищем в письме
- Адрес из своего NAT-пула (source IP).
- Адрес атакуемого ресурса (destination IP)
- Время активности на атакуемом ресурсе (с учетом часовых поясов!)
- Пример 1.
- Пример 2.
Еще из полезного в письме может быть:
- Причина abuse
- История abuse (если активность была неоднократной)
Это может помочь понять масштаб проблемы и выявлять аналогичные проблемы в сети.
Шаг 2. Ищем активность абонента в GUI СКАТ
Задача — определить по логам, какой абонент за NAT-пулом (source IP), указанным в письме, в это время обращался к адресу destination IP.
Перед началом поиска стоит проверить 2 факта:
- Данный NAT-пул заведен на CG-NAT СКАТ.
- Время хранения логов NAT захватывает время abuse-активности. Посмотреть и настроить
Далее в GUI СКАТ необходимо открыть раздел NAT flow, выбрать период, завести source и destination IP.
