Flow: configuração e mitigação

Como colocar o anti-DDoS no ar: cadastrar os roteadores que enviam fluxo (manualmente ou por IA), definir as redes que o Flow protege, calibrar a detecção e configurar a mitigação por FlowSpec e RTBH, incluindo a aprovação em 1 clique pelo celular.

As abas de configuração Novo na 7.2

Toda a configuração do Flow fica em um único lugar: dentro do ambiente Flow, clique na engrenagem Configurações para abrir a tela Configurações do Flow. Na 7.2 ela foi reformulada em 9 abas guiadas: o operador não precisa conhecer NetFlow nem BGP para ativar o anti-DDoS.

AbaO que faz
ExportadoresCadastrar os roteadores que enviam fluxo, manualmente ou por IA (seções Cadastrar exportador e Configuração por IA).
Minhas redesOs blocos de IP do provedor que o Flow vigia como possíveis vítimas (seção Minhas redes).
Custo de trânsitoClassificar ASNs (trânsito, peering, CDN, cache) para a lente de custo e as recomendações de peering (seção Custo de trânsito e peering).
DetecçãoRegras de ataque, baseline, sensibilidade, simulador e playbook de resposta (seção Detecção e sensibilidade).
MitigaçãoAuto-mitigação, redes protegidas, roteadores de bloqueio, templates FlowSpec, communities e grupos de anúncio (seções Mitigação em diante).
Tabela BGPColeta de rotas (route enrichment), opcional (seção Sessão BGP).
ExplorarAmostragem do Explorer, backend de armazenamento (MariaDB ou ClickHouse), GeoIP por cidade e mapa offline. O uso do Explorer está em Explorer de tráfego.
AlertasCanais (Telegram, WhatsApp, e-mail), severidade mínima, severidade por impacto, link de aprovação e janelas de silêncio.
Capacidade do servidorLeitura dos recursos reais do servidor e estado das funcionalidades pesadas (seção Capacidade do servidor).

Pré-requisitos

  • Premium Flow / Gold Flow / Enterprise O Flow é liberado conforme o plano de assinatura, com limite de exportadores: Premium Flow permite 1 exportador, Gold Flow até 4 e Enterprise é ilimitado. O limite bloqueia apenas a inserção de exportador novo; a edição dos existentes sempre funciona. O botão do Flow no menu fica sempre visível: sem plano elegível, o clique oferece a migração ou o teste de um plano superior.
  • O usuário precisa da permissão de Flow no grupo de acesso (ver Acesso por grupo). A engrenagem de configurações só aparece para quem tem nível de gerência.
  • Os exportadores precisam alcançar o coletor nas portas UDP 2055, 4739, 9995, 9996 (NetFlow/IPFIX) e 6343 (sFlow).

Ao salvar um exportador ativo, o próprio sistema libera as portas de coleta no firewall do servidor Ravi. A liberação fica registrada no Histórico de ações.

Aba Alertas em resumo

Além dos itens detalhados nas seções seguintes, a aba Alertas concentra:

  • Tipo de alerta: a severidade mínima que gera alerta, Warning e Critical (todos) ou Somente Critical (padrão). Vale para todos os canais.
  • Canais Telegram, WhatsApp e Alertas por e-mail, cada um com toggle e dois modos: Herdar o padrão do sistema ou Customizar com bots, contatos e destinatários próprios do Flow. A tela avisa quando o padrão do sistema não está configurado (por exemplo, WhatsApp não conectado em Configurações › Integrações).
  • Manutenção / silêncio de alertas: Silenciar agora por 1 h, 4 h ou Indefinido (até desligar), e Janelas agendadas com Início, Fim, Escopo (Global ou Por exportador) e Motivo. Evento dentro da janela fica registrado como silenciado e não alerta em canal nenhum.

Cadastrar exportador

Exportador é o roteador que envia a telemetria de fluxo (NetFlow, IPFIX ou sFlow) para o coletor do Ravi. A aba Exportadores lista os equipamentos cadastrados com o status Recebendo fluxo ou Sem fluxo ainda, e cada um tem ações de editar, excluir e Revisar configuração (IA).

Ao clicar em Adicionar equipamento, abre uma página com duas sub-abas: Configuração automática (com selo IA, a padrão, ver Configuração por IA) e Configuração manual, descrita a seguir.

Marcas suportadas

O modelo escolhido no campo Equipamento define protocolo, porta, amostragem padrão, se o equipamento suporta FlowSpec e o mini-guia Como ativar em cada marca, com os comandos prontos e botão Copiar.

ModeloProtocoloPortaAmostragem padrãoFlowSpec
Mikrotik (RouterOS)Traffic Flow (NetFlow v9)2055não amostraNão (mitigação só RTBH)
HuaweiNetStream (v9)20551:1000Sim
CiscoFlexible NetFlow (IPFIX)20551:1Sim
JuniperJ-Flow v9/IPFIX20551:1Sim
Nokia (SR OS)Cflowd (IPFIX)20551:1Sim
Datacom (DmOS)sFlow63431:2000Não
Ubiquiti (EdgeRouter)flow-accounting (NetFlow v9)20551:1Não
ZTENetFlow v920551:1Não
Switch sFlow (genérico)sFlow63431:2000Não
Outro / GenéricoNetFlow/IPFIX/sFlow20551:1Não

O formulário mostra o rótulo de mitigação do modelo: FlowSpec (granular) + bloqueio (RTBH) ou Apenas bloqueio (RTBH) — este modelo não suporta FlowSpec.

Configuração manual, passo a passo

  1. No ambiente Flow, abra a engrenagem Configurações e a aba Exportadores.
  2. Clique em Adicionar equipamento e escolha a sub-aba Configuração manual.
  3. Selecione o modelo no campo Equipamento, preencha Nome e IP do equipamento e mantenha o checkbox Ativo marcado. O sistema checa o IP enquanto você digita e recusa IP já cadastrado em outro exportador.
  4. Se precisar, ajuste as Opções avançadas: Versão do protocolo (só quando o modelo suporta mais de uma) e Amostragem (1 pacote a cada N; no Mikrotik o campo nem aparece).
  5. Opcional, mas recomendado: marque Usar SNMP para nomear interfaces e informe community, versão e porta SNMP.
  6. No card do guia Como ativar em sua marca, confira o campo Endereço do coletor (o IP que os roteadores usam para alcançar este servidor; o link Detectar IP público ajuda) e aplique os comandos prontos no roteador.
  7. Salve. O firewall do Ravi é liberado automaticamente e, em até um minuto recebendo fluxo, o status muda para Recebendo fluxo.

A amostragem cadastrada no Ravi deve ser igual à configurada no equipamento. Se os valores divergirem, todos os números de tráfego ficam errados.

Se o servidor Ravi está atrás de NAT (sem IP público na placa), a tela avisa: crie o redirecionamento das portas UDP 2055 e 6343 do IP público para o IP privado do servidor. Para equipamentos em rede privada ou VPN, o sistema resolve o endereço do coletor por destino, usando o IP do túnel ou da rota, não o público.

Campos adicionais do formulário

CampoO que faz
Usar SNMP para nomear interfacesLê nomes e aliases das interfaces do roteador. Ao salvar, a leitura já dispara e depois se repete periodicamente. As velocidades lidas viram a capacidade de referência dos links, usada na severidade por impacto e na previsão de saturação; há override manual de capacidade por interface.
Acesso ao equipamento (SSH — opcional)Campos Usuário SSH, Senha SSH, Porta SSH e Protocolo (SSH ou Telnet). A credencial é guardada cifrada no cofre de credenciais e serve para automações como a captura forense e o Revisar configuração (IA). Ao editar, deixar a senha em branco mantém a atual: a senha nunca volta ao navegador.

Configuração por IA Novo na 7.2

A sub-aba Configuração automática configura o roteador para você: um assistente de IA acessa o equipamento por SSH, faz backup, ativa o envio de fluxo, habilita SNMP de leitura e cadastra o exportador no Ravi. É a opção padrão e a recomendada para quem não domina os comandos da marca.

  1. Em Adicionar equipamento, fique na sub-aba Configuração automática.
  2. Responda Qual é a marca do equipamento? escolhendo o logo na grade (as mesmas 10 marcas do catálogo).
  3. No cartão Acesso SSH do equipamento, informe IP ou host, escolha em Autenticar por entre Senha do equipamento e Chave SSH do sistema (a chave única do Ravi, ver Chave SSH do sistema), preencha Usuário, Senha e Porta e clique em Conectar e iniciar.
  4. Acompanhe o chat. A IA conversa no idioma do usuário logado e pede confirmação sempre que necessário.

O assistente segue uma ordem obrigatória de trabalho:

  1. Backup obrigatório, sempre a primeira ação. No Mikrotik, backup binário e export de configuração; nas demais marcas, captura da configuração atual. O chat oferece o download do arquivo. Sem backup concluído, nenhum comando de mudança é executado.
  2. Testa se o equipamento alcança o coletor (ping a partir do próprio equipamento). Se não alcançar, explica a limitação e aborta.
  3. Ativa o export de fluxo seguindo o guia da marca, lendo antes o que já existe e aplicando só o que falta, sem duplicar configuração.
  4. Habilita SNMP somente leitura para nomear interfaces, reaproveitando community já cadastrada no Ravi quando houver.
  5. Cadastra o exportador automaticamente (sem duplicar por IP) e verifica se o fluxo está chegando, o que pode levar cerca de 1 minuto.
  6. Quando a marca tem receita de mitigação, propõe subir o vizinho iBGP de mitigação no equipamento, sempre pedindo confirmação no chat antes de qualquer comando BGP, e confirma se a sessão subiu.
  7. Conclui com Equipamento adicionado com sucesso! ou Não foi possível concluir.

Segurança do assistente

  • Uma camada determinística, independente da IA, barra comandos catastróficos mesmo que sejam emitidos: reset de fábrica, reboot, formatação, alteração de usuários e senhas, entre outros.
  • Comandos que removem ou desfazem algo exigem aprovação explícita no chat, com os botões Aprovar e Recusar.
  • O chat só trata da ativação do Flow: mensagens fora do tema recebem um lembrete de escopo.
  • Cada sessão vale cerca de 45 minutos e só o usuário que a abriu (ou um Master) enxerga o chat.

Se aparecer Motor de IA indisponível neste servidor., o componente de IA não está instalado ou está quebrado. Reinstale pela atualização do sistema; o cadastro manual continua disponível.

Revisar configuração (IA)

Para um exportador já cadastrado, o botão Revisar configuração (IA) na lista roda o assistente em modo idempotente: ele lê o que já existe no equipamento (configuração de fluxo e de BGP), compara com o guia da marca e aplica só o que falta. É o caminho típico para subir a sessão BGP de mitigação depois do cadastro, corrigir endereço de export errado ou amostragem divergente. A credencial vem do cofre; se não existir, o chat pede o acesso e o salva cifrado para as próximas vezes. Ao final, entrega um laudo do que estava certo, do que foi aplicado e do estado da sessão de mitigação.


Minhas redes

A aba Minhas redes define os blocos de IP públicos dos clientes e serviços do provedor. É com essa lista que o Flow detecta DDoS contra esses IPs e monta a visão de tráfego por cliente. Sem redes cadastradas, o Flow não sabe o que é vítima.

Formas de cadastrar

  • Incluir minhas redes automaticamente: com o toggle ligado, o sistema cadastra sozinho, periodicamente, as redes /24 que recebem tráfego cujo ASN de destino é o ASN dos próprios exportadores. É seguro por construção: nunca inclui rede de terceiros.
  • Adicionar minhas redes: abre um picker com sugestões agrupadas em Documentadas no IPdocs, Suas redes na Tabela BGP (exige a coleta de rotas ligada) e Detectadas no seu tráfego. Marque várias, use Selecionar todas as minhas redes e confirme com Adicionar selecionadas. Redes já cadastradas aparecem como Já monitorada.
  • Importar de ASN/AS-SET: consulta bases públicas de roteamento (whois/IRR e RIPEstat) e lista os prefixos do ASN ou AS-SET informado para seleção. Requer acesso à internet.
  • Adicionar manualmente (avançado): campos Bloco de IP (rede), Cliente / uso (opcional) e Banda contratada — opcional (Mbps).

Preencha a Banda contratada sempre que souber. Ela vira a capacidade de referência da severidade por impacto (responde "a vítima ficou sem internet?") e alimenta a visão por cliente com o percentual de banda consumida. Sem ela, o impacto é medido contra o maior link da borda.


Detecção e sensibilidade

A aba Detecção controla o vigia de ataques. Ela já vem pronta: não é preciso configurar nada para começar. E ela só avisa; bloquear é decisão sua na aba Mitigação.

Regras prontas de ataque

Cada regra reconhece um vetor conhecido e vem calibrada de fábrica: UDP flood, SYN flood, ICMP flood, amplificação (DNS, NTP e outros), fragmentação, TCP flood e regras de volume por pacotes e por tráfego. Cada regra tem seu toggle, e o Ajuste avançado expõe:

CampoO que faz
Tipo de ataqueO vetor que a regra reconhece.
Onde valeToda a rede, Por bloco ou Por interface.
Gatilho (pacotes/s) e Gatilho (tráfego, Mbps)Limiares de disparo.
Janela (segundos)Tempo de observação do limiar.
SeveridadeInformativo, Atenção ou Crítico.

Um minigráfico de calibração mostra o tráfego real das últimas 24 h contra o limiar da regra. Há ainda Adicionar regra (avançado) e Restaurar padrão (com confirmação).

Detecção de saída e anti-spoofing

  • Detectar abuso de saída: detecta um cliente do provedor virando origem de ataque contra terceiros (host comprometido). Nas regras avançadas, o campo Direção aceita Entrada (te atacam), Saída (seu cliente ataca) ou Ambas.
  • Detectar origem falsificada (BCP38): detecta cliente emitindo tráfego com origem falsificada. Configure o Piso de alerta (pacotes/s) e a tabela Prefixos permitidos por interface: origem fora dos prefixos da interface é considerada falsificada; interfaces sem prefixo (uplinks) não são checadas.

Simulador "E se?"

Descreva um ataque hipotético e veja se a detecção dispararia, e por quê. O simulador roda o motor real de detecção sem gravar nada. Campos: Modelo pronto (presets como Amplificação DNS, SYN flood botnet, Carpet bombing e teste de falso positivo CDN), Tipo de ataque, Pacotes/s, Tráfego (Mbps), Origens distintas, % servido de web (:443/:80) e Destinos distintos (carpet/saída). Clique em Simular: o resultado é DISPARARIA ou NÃO dispararia, com vetor, regra e score.

Boa prática: calibre os limiares com o simulador antes do primeiro ataque de verdade.

Anti-falso-positivo e aprendizado

  • Suavização da detecção (EWMA): amortece picos isolados. Níveis Desligado, Suave, Médio e Forte. Quanto mais forte, mais suave e mais lento para reagir; ataque sustentado ainda dispara.
  • Aprendizado do tráfego normal (baseline): o sistema aprende o padrão e avisa quando foge muito. Sensibilidade em 3 níveis: Conservador (menos alarme falso), Equilibrado (recomendado) e Agressivo (pega mais cedo). O ajuste avançado expõe o sigma de alerta, o piso mínimo em Mbps e o histórico do baseline em dias, além do toggle Baseline sazonal (dia da semana e feriados).
  • Feriados: em feriado, o tráfego é comparado ao perfil de feriado. Os nacionais brasileiros são semeados automaticamente, inclusive os móveis; adicione os locais com Adicionar feriado ou use Re-semear nacionais.

Decoders por expressão

Assinaturas customizadas por expressão sobre campos do fluxo (src_port, dst_port, packet_len, proto, tcp_flags, com operadores de comparação e lógicos). Cada decoder vira uma classe de tráfego com limiar próprio (Métrica do limiar em pps ou Mbps) e passa pelo mesmo anti-falso-positivo das regras nativas. Há exemplos prontos (amplificação SNMP/DNS/NTP, DNS query flood, flood HTTP/S, volumétrico) e um limite de decoders ativos.

Forense profunda (amostra de cabeçalho)

Análises avançadas de fingerprint exigem amostra de cabeçalho que o NetFlow não traz. Dois caminhos: captura sob demanda no console de incidente, sem hardware extra, ou sFlow contínuo por porta de espelho (opt-in, gateado pela RAM livre). O card Fonte sFlow (forense contínua) tem o botão Verificar agora com diagnóstico do que está chegando, e o wizard Como ligar a fonte sFlow traz abas por plataforma: Sampler embutido (recomendado), Mikrotik (RouterOS), Huawei NE / port-mirror e Switch com sFlow nativo. A opção Inspeção de payload (DPI) — entropia + assinatura guarda apenas métricas derivadas, nunca o conteúdo dos pacotes.


Severidade por impacto Novo na 7.2

"É ataque?" e "isso importa?" são perguntas diferentes. A severidade por impacto decide se um ataque é crítico pelo quanto ele consome do link e por quanto tempo dura, não só pelo tipo. Assim a equipe não é acordada por picos pequenos de 20 a 200 Mbps que duram 1 ou 2 minutos: eles viram apenas registro no histórico.

A configuração fica na aba Alertas, card Severidade por impacto, com o toggle Reclassificar ataques pelo impacto na rede (ligado por padrão) e os limiares:

LimiarPadrãoEfeito
Considerar CRÍTICO a partir de X % da capacidade do link50%Pico acima desse percentual da capacidade de referência escala para crítico.
Considerar ATENÇÃO a partir de15%Percentual mínimo para warning.
Piso de tráfego — abaixo disto nunca é crítico200 MbpsAtaque abaixo do piso nunca vira crítico (curto vira info, longo vira warning).
Sustentado por N min vira crítico30 minAtaque pequeno mas persistente sobe para crítico.

Como o impacto é medido: pico do ataque dividido pela capacidade de referência, que é a banda contratada do cliente quando cadastrada, senão o maior link da borda; sem nenhuma referência, a decisão é por volume absoluto. Existe ainda uma rede de segurança que escala um pico muito alto para crítico mesmo em bordas de grande capacidade.

O evento guarda as duas severidades, a da regra e a efetiva por impacto. É a efetiva que governa o alerta e a exibição nas telas.


Mitigação: FlowSpec e RTBH

Quando a detecção aponta um ataque, a mitigação é a ação que o derruba, enviada aos roteadores de borda por BGP. Por padrão nada é automático: o sistema sugere e você aprova.

TécnicaO que faz
Bloqueio cirúrgico (FlowSpec)Derruba só o tráfego do ataque; o resto do cliente continua funcionando.
Blackhole (RTBH)Descarta TODO o tráfego do IP atacado: salva a rede, mas o IP fica fora do ar.

Quando usar cada uma

A recomendação exibida no console de incidente é determinística, calculada a partir do vetor detectado e da capacidade do equipamento:

  • Equipamento sem suporte a FlowSpec (por exemplo, Mikrotik): só RTBH. O Ravi anuncia a rota /32 da vítima com blackhole na borda e o tráfego ao alvo morre no uplink; o IP sai do ar.
  • Equipamento com FlowSpec: match cirúrgico por vetor. Amplificação casa a porta de origem do serviço refletor sobre UDP; SYN/ACK/RST flood casa a flag TCP; flood de consultas DNS casa a porta de destino 53; fragmentação casa o critério de fragmento; ataque genérico casa protocolo e porta do fluxo dominante.
  • Carpet bombing: o mesmo match cirúrgico é aplicado ao bloco inteiro (destino em CIDR), bloqueando o ataque em todos os destinos de uma vez sem derrubar os destinos legítimos do bloco.

Regra de bolso: prefira FlowSpec quando a borda suporta, porque preserva o cliente. Use RTBH quando a borda não suporta, quando o upstream só aceita blackhole ou como último recurso em ataque que satura o link. No console de incidente, os botões correspondentes são Mitigar por vetor e Blackhole (RTBH) (ver Console de incidente).

Templates FlowSpec

O card Templates FlowSpec é uma biblioteca de regras reutilizáveis para aplicar durante um ataque ou referenciar em um playbook. Em Novo template: nome, descrição, Protocolo (Qualquer, TCP, UDP ou ICMP), Porta de origem, Porta de destino, Flags TCP, É fragmento, Tamanho do pacote (com operador) e a ação: Descartar ou Limitar taxa (bps). O botão Aplicar pede o IP ou bloco (CIDR) alvo e anuncia a regra via FlowSpec aos roteadores capazes. Importar e Exportar em JSON permitem levar a biblioteca de um servidor Ravi a outro.

Grupos de anúncio

O card Grupos de anúncio direciona a mitigação a um subconjunto de roteadores (por exemplo, anunciar blackhole só às bordas). Sem grupos, a mitigação vai a todos os roteadores ativos. Em Novo grupo: nome, Roteadores do grupo e Community interna (avançado), anexada à rota para o roteador direcionar; em branco, é gerada automaticamente.

Communities BGP

O card Communities BGP é o catálogo de communities classificadas em Engenharia de tráfego, Mitigação e Blackhole, para anexar aos anúncios de blackhole conforme a política do upstream.

Diagnóstico de viabilidade

Antes de confirmar uma mitigação, o sistema verifica se o anúncio vai surtir efeito e avisa com o motivo exato quando não vai:

  • Nenhum roteador de mitigação cadastrado (aponta para Configurações do Flow › Mitigação).
  • O serviço de anúncio BGP do Ravi não está no ar no servidor.
  • A sessão BGP não está estabelecida: o roteador precisa aceitar o vizinho iBGP do Ravi na TCP 179 (a tela sugere usar Revisar configuração (IA)).
  • Sessão de pé, mas a família FlowSpec não foi negociada: habilite a família no vizinho ou use o Blackhole (RTBH), que só exige unicast.

Sessão BGP de mitigação

Para aplicar FlowSpec ou RTBH, o Ravi precisa de uma sessão iBGP com cada roteador que vai executar o bloqueio. O card Roteadores que aplicam o bloqueio, na aba Mitigação, mostra os exportadores automaticamente como cards com toggle: ligar cria e ativa a sessão de mitigação com os padrões do exportador (mesmo ASN dos dois lados). Cada peer exibe o badge FlowSpec ou RTBH conforme a capacidade.

Se o exportador não tem ASN conhecido, a tela avisa: Informe o ASN do roteador para ativar (no Ajuste avançado).

Para um roteador que não é exportador, use Adicionar outro roteador:

CampoO que faz
Nome e IP do roteadorIdentificação e endereço do vizinho BGP.
Seu ASN e ASN do roteadorOs dois lados da sessão (iguais em iBGP).
Comunidade (RTBH)Community anexada ao anúncio de blackhole, por exemplo 65535:666.
Next-hop (RTBH)Next-hop do anúncio de blackhole, por exemplo 192.0.2.1.
Roteador suporta FlowSpec (bloqueio cirúrgico)Marque se a borda negocia a família FlowSpec.

O que configurar no roteador

No lado do equipamento, configure um vizinho iBGP apontando para o servidor Ravi, com as famílias ipv4 unicast (para RTBH) e ipv4 flowspec (para o bloqueio cirúrgico), aceitando a conexão na TCP 179. As receitas por marca estão no guia do catálogo, e o Revisar configuração (IA) aplica tudo sozinho. No Mikrotik, que não tem FlowSpec, a receita trata as rotas /32 recebidas do Ravi como blackhole via filtro de rota.

Detalhe que evita sessão que não sobe: o endereço de origem do vizinho no roteador (connect-interface/local-address) deve ser o mesmo IP configurado como origem do export de fluxo. Do lado Ravi, o endereço local é resolvido automaticamente.

Tabela BGP (coleta de rotas), opcional

A aba Tabela BGP configura sessões separadas, de coleta: o Ravi lê a tabela de rotas do roteador para saber o caminho exato de cada tráfego (vizinho, operadora, AS_PATH) em vez de estimar. Sem isso o Flow já funciona. O card Coleta de rotas (route enrichment) tem o toggle Ativar coleta de rotas BGP e, no ajuste avançado, o Intervalo de releitura da RIB (segundos). No card Roteadores que entregam a tabela de rotas, os exportadores viram cards com toggle, com status Estabelecida ou Inativa e a contagem de prefixos recebidos; Adicionar outra sessão aceita nome, IP do vizinho, Nosso ASN, ASN do peer, Relação (iBGP, trânsito, peering, CDN ou cache, que alimenta a lente de custo) e eBGP multihop.

A coleta habilita: upstream real na lente de custo e peering, AS_PATH e communities no lookup de rota, sugestão de redes na aba Minhas redes, a detecção de hijack BGP e o Sankey do caminho do ataque com dados reais. Full table é suportada até a casa de 1 milhão de rotas; para full table confortável, recomenda-se servidor com 12 GB de RAM ou mais.


Aprovação em 1 clique Novo na 7.2

O alerta de ataque no WhatsApp, Telegram ou e-mail pode incluir um link mágico que aprova o bloqueio com 1 clique, direto do celular, sem entrar no painel. A aprovação humana continua sendo sua; só o caminho fica mais curto.

Configuração

Na aba Alertas, card Link de aprovação:

  • URL pública do sistema: em branco, usa o endereço detectado automaticamente (domínio SSL do sistema ou IP público, exibido como Detectado automaticamente). Preencha apenas para forçar outro endereço, por exemplo atrás de proxy reverso.
  • Validade do link: padrão 15 minutos, ajustável de 1 a 1440.

Como funciona

  1. Para cada ataque elegível, o sistema gera um token de uso único e anexa o link ao alerta.
  2. A página do link abre sem login (o token é a autorização) e mostra o ataque: alvo, roteador, tipo e vetor, pico e a ação proposta (bloqueio cirúrgico FlowSpec ou blackhole RTBH).
  3. Só o botão Confirmar bloqueio executa a ação. Abrir o link apenas exibe as informações, portanto o preview automático do WhatsApp ou Telegram não dispara nada.
  4. A ação executada é exatamente a fixada no registro do ataque (alvo, vetor, modo, protocolo e porta); não é possível adulterar nada pela URL. Cada link vale uma única vez, com proteção contra duplo clique.

Estados de erro são amigáveis: link já utilizado, link expirado (aprove pelo painel), link inválido ou falha ao aplicar. Se, após confirmar, o lado Ravi não puder anunciar (sessão BGP fora do ar, família FlowSpec não negociada ou serviço de anúncio parado), a página mostra o aviso de viabilidade com o que falta, e a aprovação fica preservada.

A URL pública precisa ser alcançável do celular da equipe, fora da LAN. Se o endereço detectado for um IP privado, o link não abre fora da rede: preencha a URL pública do sistema com um endereço acessível.


Auto-mitigação

Com o auto-modo ligado, ataques críticos sustentados são mitigados automaticamente com FlowSpec por vetor e revertidos por tempo, sem intervenção. O padrão de fábrica é manual (desligado): o sistema sugere e você aprova.

Card Auto-modo de mitigação, na aba Mitigação:

OpçãoO que faz
Ligar auto-mitigação (global)Chave geral do auto-modo.
Auto-mitigar apenas ataques críticosIgnora warnings; ligado por padrão.
Desfazer o bloqueio sozinho depois de N minutosTempo de auto-reversão do bloqueio; padrão 30 minutos, de 1 a 1440.
Aplicar emTodos os exportadores ou Apenas selecionados, com toggle por exportador.
Anunciar paraTodos os roteadores ou um grupo de anúncio específico.

Redes protegidas

O card de redes protegidas lista os blocos que o sistema nunca bloqueia sozinho, por exemplo clientes críticos. Adicionar rede protegida abre um picker com Suas redes monitoradas e a opção Outra rede (digite o bloco). A proteção vale só para a mitigação automática: a manual continua possível.

Mantenha a auto-mitigação desligada até validar as sessões BGP de mitigação e a lista de redes protegidas. Comece com aprovação manual e o link de 1 clique; ligue o auto-modo depois que confiar no comportamento.


Playbook de resposta

O card Resposta a incidentes (playbook), na aba Detecção, define o que o sistema faz quando um ataque acontece, com ações em ordem nas fases Ao iniciar e Ao encerrar. É aditivo aos alertas normais, não os substitui.

  • Modo simples: o toggle Resposta automática a ataque crítico aplica a mitigação automática (FlowSpec por vetor) ao detectar um crítico. É opt-in; o padrão do sistema é aprovação manual.
  • Playbooks avançados: Adicionar playbook com Severidade mínima, Dispara em (direção entrada, saída ou ambas) e Esperar antes de agir (min), um anti-blip que exige que o ataque persista N minutos antes de qualquer ação.

Em cada fase, o Tipo de ação aceita: E-mail, Telegram, WhatsApp, Webhook, Script, Mitigar (FlowSpec) e Blackhole (RTBH). O campo Parâmetros (JSON) configura cada ação, por exemplo:

Parâmetros (JSON)
# Webhook
{"url":"https://noc.seuprovedor.com.br/hook"}
# Script
{"cmd":"meu_script.sh"}
# E-mail
{"to":"noc@seuprovedor.com.br"}

A ação de mitigação pode referenciar um template FlowSpec e um grupo de anúncio. Comportamento em tempo de ataque: o sistema escolhe o playbook mais específico (a maior severidade mínima que casa com o evento), cada fase roda uma única vez por evento, e a decisão usa a severidade efetiva por impacto, o que evita mitigação automática por ruído reclassificado. Tudo fica auditado em um log visível no console de incidente.

Segurança do tipo Script: o executável precisa estar dentro da pasta liberada no servidor (/var/www/html/flow/scripts por padrão), roda com timeout de 30 segundos e recebe o contexto por variáveis de ambiente (FLOW_DST, FLOW_SRC, FLOW_VETOR, FLOW_PPS, FLOW_BPS, FLOW_EVENTO), sem interpolação de shell.


Custo de trânsito e peering

A aba Custo de trânsito classifica os ASNs vistos no tráfego pela relação comercial, alimentando a lente de custo do dashboard e as recomendações de peering. O sistema já reconhece sozinho as grandes CDNs (Google, Netflix, Akamai, Cloudflare, Meta e outras); você só precisa marcar com quem tem conexão direta (peering) ou cache local.

RelaçãoSignificado
TrânsitoInternet que você paga (caminho padrão).
PeeringConexão direta, sem pagar trânsito.
CDNRede de conteúdo (vídeo, streaming).
CacheServido de dentro da sua rede.

A tela tem as sub-abas Sugestões (ASNs vistos no tráfego ainda não classificados, com um palpite do sistema) e Salvas, além de busca e adição manual com o campo Relação.

Confirme apenas relações que realmente existem (acordo ativo). Marcar peering ou cache que não existe distorce o cálculo de custo e gera falso positivo nas recomendações.

Como o sistema classifica, em ordem de prioridade: relação declarada na sessão BGP de coleta, depois a tabela manual desta aba, depois a heurística de nome de CDN e, por fim, trânsito. Quando a coleta de rotas está ligada, a classificação usa o upstream real de cada fluxo e o card ganha o selo de roteamento real; sem BGP, cai na heurística por ASN.

O resultado aparece no dashboard do Flow: donut por relação, tráfego pago versus otimizado e as Recomendação de peering, que apontam os maiores ASNs chegando por trânsito pago (ação: peerar) e CDNs não otimizadas (ação: cachear ou peerar). Veja Dashboard do Flow.


Capacidade do servidor

A aba Capacidade do servidor lê os recursos reais da máquina e decide o que ela comporta. Funcionalidades pesadas só podem ser ativadas se a estrutura aguentar: o que não cabe aparece bloqueado, com o motivo.

O card de métricas ao vivo mostra a Classificação do servidor (Pequeno, Médio ou Parrudo), RAM total, RAM livre, Núcleos, Carga (load), Memória do coletor, Fluxos/s e Disco livre (o disco nunca bloqueia nada). Servidor pequeno: menos de 4 GB de RAM ou até 2 núcleos; parrudo: 8 GB ou mais e 4 núcleos ou mais.

O card Funcionalidades pesadas mostra o estado de cada recurso: Suportada, No limite ou Bloqueada.

RecursoLiberado a partir deBloqueado abaixo de
ClickHouse (Explorer)8 GB de RAM e 4 núcleos5 GB de RAM ou menos de 4 núcleos
GeoIP nível cidade2 GB de RAM total1,5 GB de RAM total
Captura forense sob demanda1 GB de RAM livre512 MB de RAM livre
sFlow forense contínuo2 GB de RAM livre1 GB de RAM livre

O estado No limite aparece entre os dois limiares, ou quando a RAM livre está abaixo de 15% ou a carga por núcleo acima de 1,5: dá para ativar, mas com atenção. O bloqueio vale na tela (toggle desabilitado com cadeado e motivo) e também no servidor, que recusa a ativação: não é possível ligar algo que derrube a máquina.

Na aba Explorar, quando o backend ClickHouse (appliance parrudo) não é comportado pelo servidor, a opção aparece desabilitada com o motivo e o link Ver capacidade do servidor. O toggle desabilitado não é defeito: é o gate de capacidade.


Acesso por grupo Novo na 7.2

O Flow pode ser entregue a equipes internas ou a clientes do provedor sem vazar dados de terceiros, através dos grupos de acesso.

No cadastro do grupo de usuários existem 3 níveis para o Flow: Não incluir Flow, Incluir Flow (somente leitura) e Incluir e gerenciar Flow. Usuários Master veem tudo e têm acesso à engrenagem de configurações.

Além do nível, o grupo pode ser limitado a exportadores específicos (Selecione os exportadores que este grupo pode ver). Para um usuário escopado:

  • Todo o dashboard, o Explorer e as demais telas mostram apenas o tráfego dos exportadores permitidos; a visão geral é reconstruída só com eles.
  • Os cards que abrangem o provedor inteiro somem por projeto: score de Risco da rede, Saúde do Flow, Clientes, mapa-múndi e a lente de peering e custo de trânsito. Não é defeito: é isolamento de dados.

A configuração dos grupos em si fica em Grupos de acesso.