Flow: visão e análise
O Flow é o ambiente de análise de tráfego e anti-DDoS do Ravi Monitor: coleta NetFlow/IPFIX/sFlow dos seus roteadores, mostra o tráfego do provedor em tempo real e detecta ataques automaticamente. Esta página cobre os conceitos, o dashboard e todas as telas de análise. A configuração de exportadores e a mitigação estão em Flow: configuração e mitigação.
O que é o Flow Novo na 7.2
Os roteadores de borda do provedor (chamados de Exportadores) enviam telemetria de fluxo, nos formatos NetFlow v5/v9, IPFIX ou sFlow v5, para um coletor próprio que roda no mesmo servidor do Ravi Monitor. Com esses dados, o Flow permite:
- Ver o tráfego do provedor em tempo real: por exportador, interface, ASN, protocolo, país e cliente.
- Detectar ataques DDoS automaticamente, com classificação do vetor exato e severidade medida pelo impacto real no link.
- Analisar um incidente a fundo: anatomia do ataque, caminho pelo backbone, forense e parecer de IA.
- Mitigar com FlowSpec cirúrgico ou blackhole RTBH via BGP (detalhes em Mitigação: FlowSpec e RTBH).
- Gerar relatórios de percentil 95 para cobrança de trânsito, comparativos e post-mortem em PDF.
O acesso é pelo item Flow no menu lateral. O item fica sempre visível: é por ele que você entra para ativar e configurar o ambiente, mesmo quando ainda não há nada cadastrado.
Pré-requisitos
| Requisito | Detalhe |
|---|---|
| Plano de assinatura Premium Flow+ | O Flow é liberado conforme o plano contratado: Premium Flow permite 1 exportador, Gold Flow até 4 e Enterprise não tem limite. Fora desses planos, a área e os alertas do Flow não ficam ativos. Veja Planos e recursos. |
| Permissão de usuário | No cadastro de grupos de acesso existem três níveis: Não incluir Flow, Incluir Flow (somente leitura) e Incluir e gerenciar Flow. Usuários Master enxergam tudo. |
| Escopo por grupo | Um grupo pode ser limitado a exportadores específicos pelo campo Selecione os exportadores que este grupo pode ver. O usuário escopado só enxerga dados desses exportadores, e os cards que agregam o provedor inteiro (Risco da rede, Saúde do Flow, Clientes, Anomalias de tráfego, mapa-múndi e Peering) ficam ocultos. Detalhes em Acesso por grupo. |
| Hardware | O próprio Flow classifica o servidor (RAM, núcleos, carga e IO) e bloqueia recursos pesados que a máquina não comporta, como ClickHouse, GeoIP por cidade e forense profunda. Veja Capacidade do servidor. |
| Rede | Os exportadores precisam alcançar o coletor nas portas UDP 2055 (NetFlow/IPFIX) e 6343 (sFlow). O firewall do servidor Ravi é liberado automaticamente ao salvar o exportador. |
Conceitos essenciais
Alguns termos aparecem em todas as telas do Flow. Vale entender cada um antes de operar o ambiente.
| Conceito | O que significa |
|---|---|
| Exportador | O roteador que envia NetFlow/IPFIX/sFlow para o coletor. Cada exportador tem versão de flow, taxa de amostragem e interfaces próprias. |
| Amostragem (sampling) | Roteadores normalmente exportam 1 fluxo a cada N (por exemplo 1:1000 em roteadores de núcleo). O Flow multiplica de volta para estimar o tráfego real. Além disso, o Explorer grava internamente uma amostra adicional (1/16 por padrão), e as telas sempre avisam com o texto estimado a partir de amostragem 1/{n}. |
| Minhas redes | Os blocos IP do provedor e dos clientes que o Flow vigia como possíveis vítimas. Sem prefixos cadastrados o Flow não sabe o que proteger, e isso pesa no Score de risco como o fator Nenhuma rede monitorada. Cadastro em Minhas redes. |
| Vetor de ataque | A assinatura exata do ataque, classificada pelo coletor: amplificação (DNS, NTP, SSDP, Memcached, Chargen, CLDAP, SNMP, NetBIOS), UDP flood, TCP flood, SYN flood, ACK flood, RST flood, ICMP flood, flood de consultas DNS, fragmentação, carpet bombing, multi-vetor ou genérico. A detecção roda em três escopos (por IP vítima, por prefixo e por interface) mais um eixo de saída, para quando um cliente do provedor é a origem de ataque a terceiros. |
| Anti-falso-positivo | A detecção crítica combina um score de confiança de 0 a 100 (assinatura do vetor, tamanho médio de pacote, participação de tráfego web/CDN, quantidade de origens, baseline e allowlist), exige alguns segundos de sustentação e descarta backscatter ICMP. |
| Severidade por impacto | "É ataque?" e "isso importa?" são perguntas distintas. A severidade efetiva é calculada pelo impacto no link: um evento só vira crítico quando o pico consome 50% ou mais da capacidade de referência, com piso absoluto de 200 Mbps (abaixo disso nunca é crítico). Ataques pequenos ou curtos são reclassificados para informativo: ficam no histórico, mas não acordam o NOC. Os limiares são ajustáveis, veja Severidade por impacto. |
| Baseline sazonal | O Flow aprende o tráfego normal por hora do dia e por tipo de dia (útil, fim de semana ou feriado, com os feriados nacionais brasileiros incluídos automaticamente, inclusive os móveis). Anomalias comparam o momento atual com o normal daquela hora daquele tipo de dia. |
| Anomalia | Diferente do evento de ataque: é um desvio estatístico do baseline (4 desvios-padrão por padrão, acima de um piso de 10 Mbps). Serve para pegar ataque distribuído ou pequeno que não estoura limiar fixo, e também mudanças inesperadas de tráfego. |
| Threat intelligence | Base local de IPs maliciosos alimentada por feeds públicos (FireHOL, Spamhaus DROP, abuse.ch, nós de saída Tor, blocklist.de), atualizada de hora em hora. O console de incidente marca as origens que aparecem nessas listas. |
| Coleta de rotas BGP | Sessões BGP de coleta alimentam o Flow com a tabela de rotas real. Com ela, cada fluxo é enriquecido com next-hop, peer e AS_PATH verdadeiros, e os cards ganham o selo roteamento real. Configuração em Sessão BGP. |
| Percentil 95 | Métrica clássica de cobrança de trânsito: descarta os 5% de medições mais altas do período. O Flow calcula sobre amostras de 1 minuto, usando o maior valor entre entrada e saída em cada minuto. |
Dashboard do Flow
A tela principal do Flow é um painel NOC de tempo real: ela se atualiza sozinha a cada 3 segundos, sem precisar recarregar a página.
Topo da tela
- O título Flow traz uma bolinha de status do coletor: verde com Coletor online ou vermelha com Coletor offline. Um selo laranja Em manutenção — alertas silenciados aparece quando há janela de silêncio ativa.
- Botões de navegação: Explorar, Relatórios, Sankey de fluxo e Log de incidentes. A engrenagem abre o modal Configurações do Flow e só aparece para usuários com nível de gerência do Flow.
- Sem nenhum exportador cadastrado, a tela mostra Nenhuma fonte de fluxo configurada e orienta a cadastrar um roteador na engrenagem.
Barra de visão geral
Três indicadores sempre agregados de todos os exportadores: Tráfego encaminhado, Fluxos por segundo e Ataques ativos. O Tráfego encaminhado é o total que passa pelos equipamentos agora, em um número único; o ícone de informação ao lado do rótulo explica o que ele representa e onde acompanhar o download e o upload reais, interface por interface (card Interfaces). O card de ataques fica vermelho quando o número é maior que zero.
Card Risco da rede
O card Risco da rede responde à pergunta "estou seguro hoje?" com um score executivo de 0 a 100 em um medidor de anel, classificado em Baixo, Moderado, Alto ou Crítico. Ao lado, cada fator que pesou no score aparece em uma linha própria, com o peso (+N) e a descrição do que significa e do que fazer, por exemplo: Coletor fora do ar, ataques críticos ativos, ataques sem mitigação, Descarte de pacotes alto, RAM livre baixa, DNS inacessível, alertas de roteamento abertos, Mitigação sem sessão BGP ativa e Nenhuma rede monitorada. O ícone de informação no título abre o guia Como o risco é calculado, com as faixas de cada nível. Quando está tudo bem, o card informa Nenhum fator de risco no momento.
Banner de ataque
Quando há um evento ativo, a faixa Tráfego sob ataque aparece no topo: vermelha pulsante em evento crítico, laranja em atenção. Cada linha traz a vítima, o vetor, o pico, o percentual do link consumido e a Ação sugerida, com o botão Revisar e aprovar ação que abre o console de incidente. Sem eventos, a área mostra Nenhum ataque em andamento.
Faixa de exportadores
Um chip por exportador (mais um chip para "todos") com nome, taxa atual, minigráfico e um contador vermelho de ataques quando houver. O chip fica vermelho quando o exportador está sob ataque e mostra Sem fluxo recebido quando o roteador parou de exportar. Clicar em um chip filtra todos os cards de detalhe para aquele exportador.
Cards de detalhe
| Card | O que mostra |
|---|---|
| Tráfego em tempo real | Gráfico do Tráfego encaminhado com janelas de 1h, 6h e 24h. |
| Top destinos / Top origens / Top portas | Abas com os maiores consumidores. Cada linha é clicável para investigação (veja o drill-down abaixo). |
| Mapa-múndi ao vivo | Tráfego por país e fluxos animados país a país. Detalhes em Sankey e mapa-múndi. |
| Peering / Custo de trânsito | Classifica o tráfego pela relação comercial do ASN: Trânsito, Peering, CDN ou Cache, com o donut Por relação, a lista Maiores ASNs e a Recomendação de peering (ações Peerar e Cachear), apontando os maiores ASNs que chegam via trânsito pago e CDNs não otimizadas. Com a coleta BGP ativa, ganha o selo roteamento real. |
| Interfaces | Interfaces de cada exportador com taxa de entrada e saída e barra de Utilização contra a capacidade (descoberta por SNMP ou informada no campo Capacidade contratada). |
| Tráfego por ASN | Donut com abas Destino (ASN) e Origem (ASN), com a fatia Outros para a cauda. |
| Protocolo | Distribuição TCP, UDP, ICMP, GRE e demais protocolos. |
| Clientes | Visão comercial por cliente. Detalhes em Visão por cliente. |
| Tabela BGP | Estado das sessões de coleta, consulta de rotas e alertas de hijack. Detalhes em Alertas de hijack BGP. |
| Anomalias de tráfego (baseline) | Interfaces e prefixos fora do normal aprendido (veja abaixo). |
| Tráfego em porta 0 | Monitor dedicado a tráfego sem porta de transporte (veja abaixo). |
| Previsão de saturação | Interfaces e clientes em tendência de saturar. Detalhes em Previsão de saturação. |
| Saúde do Flow | O monitor monitorando o próprio Flow (veja abaixo). |
Drill-down
Clicar em qualquer IP, ASN, porta, protocolo ou interface dos tops e donuts abre um modal com a série temporal e as estatísticas daquele valor. É o caminho rápido de investigação sem sair do dashboard. Para análises mais elaboradas, use o Explorer.
Anomalias de tráfego (baseline)
O card Anomalias de tráfego (baseline) lista interfaces e prefixos fora do normal aprendido: rótulo, direção (entrada ou saída), valor atual contra o Normal, desvio e desde quando. Quando está tudo certo, mostra Tudo dentro do normal.
A ação Reconhecer (com confirmação Reconhecer anomalia?) remove a anomalia da lista de todos os usuários, deixa de alertar em qualquer canal e mantém o registro no histórico. Quem reconheceu ainda a vê e pode usar Reabrir.
Tráfego em porta 0
Monitor dedicado a pacotes sem porta de transporte, tipicamente fragmentos de IP ou tráfego forjado: picos podem indicar ataque de fragmentação invisível nas visões agregadas. O card mostra o percentual do tráfego total (fica vermelho quando alto), bps e pps, um minigráfico de 6 horas e as colunas Top origens e Top destinos. O link Analisar no Explorer abre o Explorer já filtrado para esse tráfego.
Saúde do Flow
O card Saúde do Flow monitora o próprio ambiente. O título indica Ativo (verde) ou Coletor fora do ar (vermelho), com o tempo no ar há. As métricas usam semáforo verde, laranja e vermelho: Pacotes/s, Fluxos/s, Descarte interno, Descarte do kernel, Memória (RSS), Rotas na RIB, Lag do rollup (atraso da gravação no banco), Tabelas do Flow (tamanho em disco), RAM livre do host, carga por núcleo, IO Wait e Swap. O rodapé Dependências externas testa ativamente DNS, Internet IPv4 e IPv6, servidor de atualização, Telegram e o proxy de IA.
O Flow também se autoalerta: quando a saúde degrada (coletor parado, descarte alto por minutos seguidos, gravação atrasada ou RAM do host muito baixa), o sistema envia um aviso de saúde degradada nos canais do Flow e outro quando normaliza. Durante uma janela de manutenção, esses avisos ficam suprimidos.
Log de incidentes
O botão Log de incidentes abre o histórico de eventos de ataque e anomalias, com filtros Ativos e Todos e colunas Quando, Tipo, Alvo, Severidade, Status (Ativo, Resolvido ou Mitigando), Duração, pico e Alertado via (ícones dos canais que receberam o alerta). A lista se atualiza a cada 5 segundos enquanto está aberta, e clicar em um evento abre o console de incidente.
A ação Marcar falso positivo resolve e silencia o evento e ensina uma exceção ao detector, para o mesmo padrão não alertar de novo. A confirmação explica exatamente isso antes de aplicar.
Explorer de tráfego
O botão Explorar abre um pivot livre sobre os fluxos amostrados. Ele responde perguntas do tipo "qual o top de ASNs de destino no link X entre 14h e 16h de ontem, só UDP?".
Controles
| Controle | Opções |
|---|---|
| Dimensão | 18 opções: ASN destino, ASN origem, Upstream destino, Upstream origem, País destino, País origem, Cidade (destino), Cidade (origem), IP destino, IP origem, Porta destino, Porta origem, Protocolo, Interface de saída, Interface de entrada, Next-hop, Cliente (prefixo) e Exportador. As dimensões de cidade só aparecem com o GeoIP por cidade ativado. |
| Métrica | Tráfego (bytes) ou Pacotes. |
| Dimensão 2 (coluna) | Segunda dimensão, usada pela visualização em matriz. |
| Janela | 1h, 6h, 24h, 7d ou Personalizado com os campos De e Até. |
| Top | 10, 15, 25 ou 50 resultados. O botão Aplicar executa a consulta. |
| Filtros | Adicionar filtro aceita qualquer campo permitido com valor exato; protocolo e exportador viram listas de seleção. Links vindos de outros cards (como o de porta 0) já chegam com filtros preenchidos pela URL. |
Visualizações
- Linha (tempo): série temporal empilhada dos top N.
- Radar: comparação de proporções entre os itens.
- Dispersão (portas): gráfico de bolhas relacionando valor, taxa e quantidade de fluxos.
- Matriz (conversação): mapa de calor 2D cruzando a dimensão principal com a Dimensão 2, o "quem fala com quem" (por exemplo ASN contra ASN).
- Tabela top N com bps, pps, Participação e Fluxos. IPs presentes em listas de ameaça recebem um selo vermelho.
Os números do Explorer são estimativas: combinam a amostragem do roteador com a amostragem interna, e a tela indica o fator aplicado. A retenção padrão das amostras é de 48 horas, então janelas de 7 dias podem sair parciais. Para números exatos de cobrança use os Relatórios, que não são amostrados. Para retenção longa e sem amostragem existe a opção ClickHouse sem amostragem (retenção longa) nas configurações, recomendada apenas para servidores com capacidade folgada.
Usuários de grupos escopados só conseguem pivotar sobre os exportadores liberados para o grupo.
Visão por cliente
O card Clientes transforma o Flow em uma visão comercial: ele agrega os prefixos de Minhas redes pelo campo Cliente do cadastro. É a tela para suporte e vendas responderem "quanto esse cliente está usando da banda contratada, e ele está sob ataque?".
A lista ordena por "ataques primeiro, depois maior tráfego" e mostra, por cliente: tráfego atual de entrada e saída, a Banda contratada (soma da banda dos prefixos, em Mbps), o percentual de uso, o número de Prefixos e os ataques ativos.
- Cadastre os prefixos em Minhas redes, preenchendo o campo Cliente e a banda contratada de cada bloco.
- No dashboard, abra o card Clientes e clique em um cliente.
- O drill mostra o gráfico Tráfego do cliente com seletor de janela, a lista de prefixos com a taxa de cada CIDR e os ataques em curso contra ele.
Sem prefixos com cliente preenchido, o card orienta: Sem clientes. Cadastre prefixos com o campo "cliente" na configuração. Este card agrega o provedor inteiro e por isso fica oculto para usuários de grupos escopados por exportador.
Sankey e mapa-múndi
Sankey de fluxo
O botão Sankey de fluxo conta a história do tráfego de relance, em estágios encadeados:
- Download: Origem ASN → Upstream → Interface → Cliente.
- Upload: Cliente → Interface → Upstream → Destino ASN.
Controles: Direção, Janela (1h, 6h, 24h, 7d ou personalizado), Roteador (padrão Todos) e Estágios por coluna (top 5 a 15 por estágio; a cauda vira Outros). Nós especiais indicam dados que o Flow não conseguiu atribuir: Sem upstream BGP, Sem cliente, Sem interface e Desconhecido. Cada elo mostra o bps no tooltip e o cabeçalho traz o Tráfego total.
O Sankey usa a mesma base de amostras do Explorer. Se a tela mostrar Sem fluxos amostrados nesta janela. Ative a amostragem do Explorer em Configurações., ligue a amostragem nas configurações do Flow. Com a coleta de rotas BGP ativa, os estágios de upstream e peer usam o roteamento real.
Mapa-múndi ao vivo
O card de mapa do dashboard tem quatro modos, selecionados por botões no título:
- Fluxos: pares país a país com arcos animados (partículas na direção do tráfego), etiqueta de bps e pins com bandeira, considerando os últimos 5 minutos.
- Download, Upload e Total: bolhas por país com o agregado ao vivo.
A lista lateral é clicável e sincroniza o realce com o mapa. Durante um incidente, a vítima ganha um pin próprio. O mesmo componente de mapa aparece no console de incidente e como widget no ambiente Dashboards.
O mapa abre travado, para que a rolagem da página não mude o zoom nem a posição sem querer. O botão Desbloquear, no canto superior direito do mapa, libera o zoom e o reposicionamento e vira Bloquear para travar novamente.
- Por padrão o mapa usa tiles online; a opção Mapa offline (tiles locais) desenha contornos de países locais, ideal para servidores sem acesso à internet.
- A geolocalização por país usa base local, sem custo. A granularidade de cidade é opcional (GeoIP nível cidade (.mmdb)) e depende da capacidade do servidor.
Console de incidente
O console Incidente DDoS é a central de resposta a um ataque. Ele abre pelo botão Revisar e aprovar ação do banner de ataque ou clicando em um evento no Log de incidentes. O cabeçalho resume o tipo e vetor do ataque, a Vítima (IP, porta e nome reverso) e os indicadores de Pico, Duração, Início, severidade e percentual do link.
Os blocos, na ordem em que aparecem:
- Ação: a Ação sugerida traz uma recomendação instantânea (FlowSpec ou RTBH, conforme o vetor e o equipamento) e os botões Mitigar por vetor e Blackhole (RTBH), este com o aviso Derruba TODO o tráfego do alvo:. Antes de executar, o sistema roda um Diagnóstico de viabilidade (sessão BGP ativa? o peer aceita FlowSpec?) e pode avisar Não foi possível mitigar agora, com a opção Mitigar mesmo assim. O passo a passo da mitigação está em Mitigação: FlowSpec e RTBH.
- Analista DDoS (IA): parecer de IA sobre o evento (detalhado na próxima seção).
- Tráfego da vítima durante o ataque: gráfico da vítima na janela do evento.
- Caminho do ataque: um Sankey escopado ao evento, mostrando Origem (ASN) → Entrada (interface de entrada) → Saída (interface de saída) → vítima. Abaixo, a Saturação de interface compara o pico real com a capacidade de cada interface envolvida, classificando em Crítico (85% ou mais), Atenção (60% ou mais) e Saudável.
- Forense leve (quando há dados): Distribuição de tamanho de pacote com interpretação automática (pacote pequeno sugere flood ou amplificação, pacote grande sugere tráfego volumétrico/conteúdo ou fragmentação); Métricas de origem com IPs distintos, Sub-redes /24, ASNs, concentração Top-10 e Pacotes/origem (sinais de botnet contra poucas origens); Flags TCP (composição) com a combinação dominante; análise de amplificação com o fator estimado; fingerprint de cabeçalhos (sistema operacional provável, TTL, janela TCP, indício de spoofing) quando a forense profunda está ligada; reputação das origens; e Comparar com o normal, com o pico contra o baseline, Ataques à vítima (7d) e Anomalias simultâneas na rede.
- Capturar forense: o modal Captura forense sob demanda gera o comando pronto de espelhamento TZSP (Mikrotik) ou de captura via SSH/SFTP (Huawei, usando o cofre de credenciais) apontando ao coletor. O conteúdo dos pacotes nunca é armazenado. O recurso depende da capacidade do servidor.
- Anatomia: Top origens do ataque lista até 20 IPs com ASN, país e percentual de pacotes, com selo de Ameaça por origem (Lista negra, Tor ou Scanner) e o resumo de quantas origens estão em listas de ameaça. Completam o bloco Top ASNs de origem, Origem geográfica do ataque (mapa com arcos das origens até a vítima) e Quebra por país. Logo no início do ataque pode aparecer Sem origens registradas ainda.: a anatomia se preenche conforme o evento evolui.
- Relatórios: botões Relatório PDF e Post-mortem (PDF) (veja Post-mortem automático).
Analista IA de incidente
O bloco Analista DDoS (IA) do console pede um parecer em linguagem natural sobre o evento. Ao clicar em Analisar com IA, o sistema reúne toda a evidência disponível (sinais do detector, portas dominantes, forense, caminho do ataque, threat intelligence) e envia para o motor de IA; enquanto processa, mostra Analisando o ataque….
O resultado vem estruturado:
| Campo | Valores possíveis |
|---|---|
| Classificação | Ataque real, Suspeito ou Provável falso positivo. |
| Vetor | O vetor confirmado pela análise. |
| Botnet | Sim, Não ou Talvez. |
| Mitigação recomendada | FlowSpec cirúrgico, Blackhole (RTBH) ou Monitorar, com a sugestão de filtro quando aplicável. |
| Risco de recorrência | Baixo, Médio ou Alto. |
| Ações recomendadas e Confiança | Lista de próximos passos e o grau de confiança do parecer. |
A análise é treinada para evitar falso positivo: considera backscatter ICMP, tráfego legítimo de CDN e web e o cenário de saída, em que um cliente do provedor é a origem do ataque.
O recurso depende do proxy de IA do Ravi configurado no servidor. Sem ele, o bloco mostra IA indisponível no momento. e a checagem correspondente aparece nas Dependências externas do card Saúde do Flow.
Relatórios e percentil 95
O botão Relatórios abre a tela de capacidade e cobrança. Diferente do Explorer, os relatórios usam medições completas de 1 minuto, sem amostragem: são os números para fechar fatura de trânsito.
- Escolha o Escopo: Interface ou Cliente, e selecione o alvo.
- Escolha o Período: Últimos 7 dias, Últimos 30 dias, Mês atual ou Mês anterior.
- Opcionalmente marque Comparar com o período anterior.
- Clique em Aplicar. Para exportar, use Gerar PDF.
Indicadores exibidos:
- 95º percentil (cobrança): o valor de billing, com detalhamento de entrada e saída. O cálculo usa o maior valor entre entrada e saída em cada minuto do período.
- Pico e Média do período.
- Utilização: o percentil 95 dividido pela Capacidade, com barra colorida (verde, laranja e vermelho conforme a faixa). Sem capacidade conhecida, a tela indica capacidade não definida.
- Projeção de saturação: Satura em ~ N dias (ou meses) com faixa de confiança, tendência estável ou já saturado.
Com a comparação marcada, cada indicador ganha o delta percentual vs anterior contra o período imediatamente anterior de mesma duração: seta vermelha quando subiu, verde quando caiu. O gráfico mostra as barras de Pico diário, a linha tracejada do percentil 95 e a linha da capacidade.
As medições de 1 minuto ficam retidas por 35 dias, o suficiente para fechar relatórios de mês completo. O gráfico do PDF é renderizado por um serviço online: em servidores sem saída à internet, o PDF sai sem a imagem do gráfico.
Post-mortem automático
O post-mortem é o relatório de encerramento de um ataque, pronto para arquivar ou repassar ao cliente atingido. Ele existe em dois modos:
- Automático: quando um ataque crítico encerra e a opção de post-mortem automático está ligada nas configurações do Flow, o sistema gera o PDF uma única vez e o anexa ao e-mail de "ataque encerrado".
- Sob demanda: o botão Post-mortem (PDF) no console de incidente gera e exibe o PDF na hora, para qualquer evento.
O documento ("Relatório de incidente DDoS") traz: vítima com nome reverso, vetor e protocolo, exportador, pico em bps e pps, duração, início e fim, status e ação sugerida; o gráfico da linha do tempo; as 20 maiores origens com ASN, país e percentual, marcando as que estão em listas de ameaça; os top ASNs; a quebra por país; e o resumo de origens em listas de ameaça. O idioma do PDF acompanha o idioma do usuário que o gera; no envio automático por e-mail, o idioma do sistema.
Em servidores sem saída à internet, o PDF sai sem o gráfico da linha do tempo e a geolocalização das origens pode aparecer como país desconhecido. O restante do conteúdo é gerado normalmente.
Previsão de saturação
O card Previsão de saturação antecipa upgrades de link: ele lista as interfaces e clientes em tendência de saturar, da mais próxima para a mais distante, com o nome, a estimativa Satura em ~ N dias, a faixa de confiança (mínimo e máximo) e a utilização atual da capacidade. Quando não há tendência, mostra Nenhuma interface ou cliente com tendência de saturação no momento. Clicar em um item leva ao relatório completo do alvo.
Como a projeção funciona:
- O método é uma regressão linear sobre o pico diário dos últimos 30 dias; a faixa de confiança vem da incerteza da tendência.
- Só entram alvos com capacidade definida: velocidade descoberta por SNMP, Capacidade contratada manual da interface ou banda contratada do cliente.
- São necessários pelo menos 5 dias de histórico para projetar.
A mesma projeção aparece na tela de Relatórios como o indicador Projeção de saturação do alvo selecionado.
Alertas de hijack BGP
Com a coleta de rotas BGP configurada (veja Sessão BGP de mitigação), o card Tabela BGP mostra o estado do roteamento e vigia sequestros de prefixo. Sem a coleta, o card indica Coleta de rotas BGP desligada.
Estado e consulta
- O card informa o número de rotas na tabela e as Sessões com estado Estabelecida ou Inativa.
- O campo Consultar IP na tabela BGP com o botão Consultar faz um lookup: retorna Prefixo, AS_PATH, Origem (AS), Next-hop, Peer/Upstream e Comunidades; quando não há rota, mostra Sem rota para o IP.
Alertas de roteamento
A área Alertas de roteamento é a detecção de hijack. Ela compara a origem de cada prefixo contra o histórico de origens válidas e abre dois tipos de alerta:
| Tipo | O que significa |
|---|---|
| Origem alterada | Um prefixo conhecido passou a ser anunciado por outro ASN de origem. Pode ser sequestro, mas também mudança legítima (troca de operadora ou de upstream). O modal de detalhes explica os dois cenários. |
| Sub-prefixo suspeito | Apareceu um anúncio mais específico (por exemplo um /24) com origem diferente do bloco que o cobre, a assinatura clássica de sub-prefix hijack. |
Na tabela BGP global, anúncios de sub-prefixo com origem diferente são muito comuns e quase sempre legítimos. O alerta só representa risco real quando o prefixo pertence à SUA rede. Se o prefixo não é seu, trate como ruído e reconheça o alerta.
Ações por alerta: Ver detalhes abre o modal com a explicação ("o que é", "o que significa", "por que sinalizamos"); Reconhecer tira o alerta da lista; Ignorar esmaece o alerta no fim da lista, e ele some sozinho quando a condição se resolver. Alertas de roteamento abertos pesam no Risco da rede.
Simulação de ataque
O Simulador "E se?" permite calibrar a detecção antes do primeiro ataque real: você descreve um ataque hipotético e vê se a detecção dispararia, e por quê. A simulação roda o motor real do detector, exatamente o mesmo que roda em produção, sem gravar nada.
O simulador fica em Configurações do Flow, aba Detecção, no card Simulador "E se?", e exige nível de gerência do Flow.
- Escolha um Modelo pronto ou monte o cenário manualmente.
- Defina o Tipo de ataque (floods UDP/TCP/SYN/ICMP, fragmentação, flood de consultas DNS, as amplificações ou genérico), a direção (entrada ou saída) e o escopo (global ou um prefixo).
- Preencha os números do cenário: Pacotes/s, Tráfego (Mbps), Origens distintas, % servido de web (:443/:80) e Destinos distintos (carpet/saída).
- Clique em Simular.
O resultado mostra, regra por regra, se o limiar estouraria, qual seria o score de confiança e se um alerta seria disparado.
Boa prática de implantação: cadastre os exportadores, confira interfaces e capacidades por SNMP, cadastre Minhas redes com cliente e banda contratada, calibre a sensibilidade com o simulador e só então considere ligar a auto-mitigação.