Flow: configuração e mitigação
Como colocar o anti-DDoS no ar: cadastrar os roteadores que enviam fluxo (manualmente ou por IA), definir as redes que o Flow protege, calibrar a detecção e configurar a mitigação por FlowSpec e RTBH, incluindo a aprovação em 1 clique pelo celular.
As abas de configuração Novo na 7.2
Toda a configuração do Flow fica em um único lugar: dentro do ambiente Flow, clique na engrenagem Configurações para abrir a tela Configurações do Flow. Na 7.2 ela foi reformulada em 9 abas guiadas: o operador não precisa conhecer NetFlow nem BGP para ativar o anti-DDoS.
| Aba | O que faz |
|---|---|
| Exportadores | Cadastrar os roteadores que enviam fluxo, manualmente ou por IA (seções Cadastrar exportador e Configuração por IA). |
| Minhas redes | Os blocos de IP do provedor que o Flow vigia como possíveis vítimas (seção Minhas redes). |
| Custo de trânsito | Classificar ASNs (trânsito, peering, CDN, cache) para a lente de custo e as recomendações de peering (seção Custo de trânsito e peering). |
| Detecção | Regras de ataque, baseline, sensibilidade, simulador e playbook de resposta (seção Detecção e sensibilidade). |
| Mitigação | Auto-mitigação, redes protegidas, roteadores de bloqueio, templates FlowSpec, communities e grupos de anúncio (seções Mitigação em diante). |
| Tabela BGP | Coleta de rotas (route enrichment), opcional (seção Sessão BGP). |
| Explorar | Amostragem do Explorer, backend de armazenamento (MariaDB ou ClickHouse), GeoIP por cidade e mapa offline. O uso do Explorer está em Explorer de tráfego. |
| Alertas | Canais (Telegram, WhatsApp, e-mail), severidade mínima, severidade por impacto, link de aprovação e janelas de silêncio. |
| Capacidade do servidor | Leitura dos recursos reais do servidor e estado das funcionalidades pesadas (seção Capacidade do servidor). |
Pré-requisitos
- Premium Flow / Gold Flow / Enterprise O Flow é liberado conforme o plano de assinatura, com limite de exportadores: Premium Flow permite 1 exportador, Gold Flow até 4 e Enterprise é ilimitado. O limite bloqueia apenas a inserção de exportador novo; a edição dos existentes sempre funciona. O botão do Flow no menu fica sempre visível: sem plano elegível, o clique oferece a migração ou o teste de um plano superior.
- O usuário precisa da permissão de Flow no grupo de acesso (ver Acesso por grupo). A engrenagem de configurações só aparece para quem tem nível de gerência.
- Os exportadores precisam alcançar o coletor nas portas UDP
2055,4739,9995,9996(NetFlow/IPFIX) e6343(sFlow).
Ao salvar um exportador ativo, o próprio sistema libera as portas de coleta no firewall do servidor Ravi. A liberação fica registrada no Histórico de ações.
Aba Alertas em resumo
Além dos itens detalhados nas seções seguintes, a aba Alertas concentra:
- Tipo de alerta: a severidade mínima que gera alerta, Warning e Critical (todos) ou Somente Critical (padrão). Vale para todos os canais.
- Canais Telegram, WhatsApp e Alertas por e-mail, cada um com toggle e dois modos: Herdar o padrão do sistema ou Customizar com bots, contatos e destinatários próprios do Flow. A tela avisa quando o padrão do sistema não está configurado (por exemplo, WhatsApp não conectado em Configurações › Integrações).
- Manutenção / silêncio de alertas: Silenciar agora por 1 h, 4 h ou Indefinido (até desligar), e Janelas agendadas com Início, Fim, Escopo (Global ou Por exportador) e Motivo. Evento dentro da janela fica registrado como silenciado e não alerta em canal nenhum.
Cadastrar exportador
Exportador é o roteador que envia a telemetria de fluxo (NetFlow, IPFIX ou sFlow) para o coletor do Ravi. A aba Exportadores lista os equipamentos cadastrados com o status Recebendo fluxo ou Sem fluxo ainda, e cada um tem ações de editar, excluir e Revisar configuração (IA).
Ao clicar em Adicionar equipamento, abre uma página com duas sub-abas: Configuração automática (com selo IA, a padrão, ver Configuração por IA) e Configuração manual, descrita a seguir.
Marcas suportadas
O modelo escolhido no campo Equipamento define protocolo, porta, amostragem padrão, se o equipamento suporta FlowSpec e o mini-guia Como ativar em cada marca, com os comandos prontos e botão Copiar.
| Modelo | Protocolo | Porta | Amostragem padrão | FlowSpec |
|---|---|---|---|---|
| Mikrotik (RouterOS) | Traffic Flow (NetFlow v9) | 2055 | não amostra | Não (mitigação só RTBH) |
| Huawei | NetStream (v9) | 2055 | 1:1000 | Sim |
| Cisco | Flexible NetFlow (IPFIX) | 2055 | 1:1 | Sim |
| Juniper | J-Flow v9/IPFIX | 2055 | 1:1 | Sim |
| Nokia (SR OS) | Cflowd (IPFIX) | 2055 | 1:1 | Sim |
| Datacom (DmOS) | sFlow | 6343 | 1:2000 | Não |
| Ubiquiti (EdgeRouter) | flow-accounting (NetFlow v9) | 2055 | 1:1 | Não |
| ZTE | NetFlow v9 | 2055 | 1:1 | Não |
| Switch sFlow (genérico) | sFlow | 6343 | 1:2000 | Não |
| Outro / Genérico | NetFlow/IPFIX/sFlow | 2055 | 1:1 | Não |
O formulário mostra o rótulo de mitigação do modelo: FlowSpec (granular) + bloqueio (RTBH) ou Apenas bloqueio (RTBH) — este modelo não suporta FlowSpec.
Configuração manual, passo a passo
- No ambiente Flow, abra a engrenagem Configurações e a aba Exportadores.
- Clique em Adicionar equipamento e escolha a sub-aba Configuração manual.
- Selecione o modelo no campo Equipamento, preencha Nome e IP do equipamento e mantenha o checkbox Ativo marcado. O sistema checa o IP enquanto você digita e recusa IP já cadastrado em outro exportador.
- Se precisar, ajuste as Opções avançadas: Versão do protocolo (só quando o modelo suporta mais de uma) e Amostragem (1 pacote a cada N; no Mikrotik o campo nem aparece).
- Opcional, mas recomendado: marque Usar SNMP para nomear interfaces e informe community, versão e porta SNMP.
- No card do guia Como ativar em sua marca, confira o campo Endereço do coletor (o IP que os roteadores usam para alcançar este servidor; o link Detectar IP público ajuda) e aplique os comandos prontos no roteador.
- Salve. O firewall do Ravi é liberado automaticamente e, em até um minuto recebendo fluxo, o status muda para Recebendo fluxo.
A amostragem cadastrada no Ravi deve ser igual à configurada no equipamento. Se os valores divergirem, todos os números de tráfego ficam errados.
Se o servidor Ravi está atrás de NAT (sem IP público na placa), a tela avisa: crie o redirecionamento das portas UDP 2055 e 6343 do IP público para o IP privado do servidor. Para equipamentos em rede privada ou VPN, o sistema resolve o endereço do coletor por destino, usando o IP do túnel ou da rota, não o público.
Campos adicionais do formulário
| Campo | O que faz |
|---|---|
| Usar SNMP para nomear interfaces | Lê nomes e aliases das interfaces do roteador. Ao salvar, a leitura já dispara e depois se repete periodicamente. As velocidades lidas viram a capacidade de referência dos links, usada na severidade por impacto e na previsão de saturação; há override manual de capacidade por interface. |
| Acesso ao equipamento (SSH — opcional) | Campos Usuário SSH, Senha SSH, Porta SSH e Protocolo (SSH ou Telnet). A credencial é guardada cifrada no cofre de credenciais e serve para automações como a captura forense e o Revisar configuração (IA). Ao editar, deixar a senha em branco mantém a atual: a senha nunca volta ao navegador. |
Configuração por IA Novo na 7.2
A sub-aba Configuração automática configura o roteador para você: um assistente de IA acessa o equipamento por SSH, faz backup, ativa o envio de fluxo, habilita SNMP de leitura e cadastra o exportador no Ravi. É a opção padrão e a recomendada para quem não domina os comandos da marca.
- Em Adicionar equipamento, fique na sub-aba Configuração automática.
- Responda Qual é a marca do equipamento? escolhendo o logo na grade (as mesmas 10 marcas do catálogo).
- No cartão Acesso SSH do equipamento, informe IP ou host, escolha em Autenticar por entre Senha do equipamento e Chave SSH do sistema (a chave única do Ravi, ver Chave SSH do sistema), preencha Usuário, Senha e Porta e clique em Conectar e iniciar.
- Acompanhe o chat. A IA conversa no idioma do usuário logado e pede confirmação sempre que necessário.
O assistente segue uma ordem obrigatória de trabalho:
- Backup obrigatório, sempre a primeira ação. No Mikrotik, backup binário e export de configuração; nas demais marcas, captura da configuração atual. O chat oferece o download do arquivo. Sem backup concluído, nenhum comando de mudança é executado.
- Testa se o equipamento alcança o coletor (ping a partir do próprio equipamento). Se não alcançar, explica a limitação e aborta.
- Ativa o export de fluxo seguindo o guia da marca, lendo antes o que já existe e aplicando só o que falta, sem duplicar configuração.
- Habilita SNMP somente leitura para nomear interfaces, reaproveitando community já cadastrada no Ravi quando houver.
- Cadastra o exportador automaticamente (sem duplicar por IP) e verifica se o fluxo está chegando, o que pode levar cerca de 1 minuto.
- Quando a marca tem receita de mitigação, propõe subir o vizinho iBGP de mitigação no equipamento, sempre pedindo confirmação no chat antes de qualquer comando BGP, e confirma se a sessão subiu.
- Conclui com Equipamento adicionado com sucesso! ou Não foi possível concluir.
Segurança do assistente
- Uma camada determinística, independente da IA, barra comandos catastróficos mesmo que sejam emitidos: reset de fábrica, reboot, formatação, alteração de usuários e senhas, entre outros.
- Comandos que removem ou desfazem algo exigem aprovação explícita no chat, com os botões Aprovar e Recusar.
- O chat só trata da ativação do Flow: mensagens fora do tema recebem um lembrete de escopo.
- Cada sessão vale cerca de 45 minutos e só o usuário que a abriu (ou um Master) enxerga o chat.
Se aparecer Motor de IA indisponível neste servidor., o componente de IA não está instalado ou está quebrado. Reinstale pela atualização do sistema; o cadastro manual continua disponível.
Revisar configuração (IA)
Para um exportador já cadastrado, o botão Revisar configuração (IA) na lista roda o assistente em modo idempotente: ele lê o que já existe no equipamento (configuração de fluxo e de BGP), compara com o guia da marca e aplica só o que falta. É o caminho típico para subir a sessão BGP de mitigação depois do cadastro, corrigir endereço de export errado ou amostragem divergente. A credencial vem do cofre; se não existir, o chat pede o acesso e o salva cifrado para as próximas vezes. Ao final, entrega um laudo do que estava certo, do que foi aplicado e do estado da sessão de mitigação.
Minhas redes
A aba Minhas redes define os blocos de IP públicos dos clientes e serviços do provedor. É com essa lista que o Flow detecta DDoS contra esses IPs e monta a visão de tráfego por cliente. Sem redes cadastradas, o Flow não sabe o que é vítima.
Formas de cadastrar
- Incluir minhas redes automaticamente: com o toggle ligado, o sistema cadastra sozinho, periodicamente, as redes /24 que recebem tráfego cujo ASN de destino é o ASN dos próprios exportadores. É seguro por construção: nunca inclui rede de terceiros.
- Adicionar minhas redes: abre um picker com sugestões agrupadas em Documentadas no IPdocs, Suas redes na Tabela BGP (exige a coleta de rotas ligada) e Detectadas no seu tráfego. Marque várias, use Selecionar todas as minhas redes e confirme com Adicionar selecionadas. Redes já cadastradas aparecem como Já monitorada.
- Importar de ASN/AS-SET: consulta bases públicas de roteamento (whois/IRR e RIPEstat) e lista os prefixos do ASN ou AS-SET informado para seleção. Requer acesso à internet.
- Adicionar manualmente (avançado): campos Bloco de IP (rede), Cliente / uso (opcional) e Banda contratada — opcional (Mbps).
Preencha a Banda contratada sempre que souber. Ela vira a capacidade de referência da severidade por impacto (responde "a vítima ficou sem internet?") e alimenta a visão por cliente com o percentual de banda consumida. Sem ela, o impacto é medido contra o maior link da borda.
Detecção e sensibilidade
A aba Detecção controla o vigia de ataques. Ela já vem pronta: não é preciso configurar nada para começar. E ela só avisa; bloquear é decisão sua na aba Mitigação.
Regras prontas de ataque
Cada regra reconhece um vetor conhecido e vem calibrada de fábrica: UDP flood, SYN flood, ICMP flood, amplificação (DNS, NTP e outros), fragmentação, TCP flood e regras de volume por pacotes e por tráfego. Cada regra tem seu toggle, e o Ajuste avançado expõe:
| Campo | O que faz |
|---|---|
| Tipo de ataque | O vetor que a regra reconhece. |
| Onde vale | Toda a rede, Por bloco ou Por interface. |
| Gatilho (pacotes/s) e Gatilho (tráfego, Mbps) | Limiares de disparo. |
| Janela (segundos) | Tempo de observação do limiar. |
| Severidade | Informativo, Atenção ou Crítico. |
Um minigráfico de calibração mostra o tráfego real das últimas 24 h contra o limiar da regra. Há ainda Adicionar regra (avançado) e Restaurar padrão (com confirmação).
Detecção de saída e anti-spoofing
- Detectar abuso de saída: detecta um cliente do provedor virando origem de ataque contra terceiros (host comprometido). Nas regras avançadas, o campo Direção aceita Entrada (te atacam), Saída (seu cliente ataca) ou Ambas.
- Detectar origem falsificada (BCP38): detecta cliente emitindo tráfego com origem falsificada. Configure o Piso de alerta (pacotes/s) e a tabela Prefixos permitidos por interface: origem fora dos prefixos da interface é considerada falsificada; interfaces sem prefixo (uplinks) não são checadas.
Simulador "E se?"
Descreva um ataque hipotético e veja se a detecção dispararia, e por quê. O simulador roda o motor real de detecção sem gravar nada. Campos: Modelo pronto (presets como Amplificação DNS, SYN flood botnet, Carpet bombing e teste de falso positivo CDN), Tipo de ataque, Pacotes/s, Tráfego (Mbps), Origens distintas, % servido de web (:443/:80) e Destinos distintos (carpet/saída). Clique em Simular: o resultado é DISPARARIA ou NÃO dispararia, com vetor, regra e score.
Boa prática: calibre os limiares com o simulador antes do primeiro ataque de verdade.
Anti-falso-positivo e aprendizado
- Suavização da detecção (EWMA): amortece picos isolados. Níveis Desligado, Suave, Médio e Forte. Quanto mais forte, mais suave e mais lento para reagir; ataque sustentado ainda dispara.
- Aprendizado do tráfego normal (baseline): o sistema aprende o padrão e avisa quando foge muito. Sensibilidade em 3 níveis: Conservador (menos alarme falso), Equilibrado (recomendado) e Agressivo (pega mais cedo). O ajuste avançado expõe o sigma de alerta, o piso mínimo em Mbps e o histórico do baseline em dias, além do toggle Baseline sazonal (dia da semana e feriados).
- Feriados: em feriado, o tráfego é comparado ao perfil de feriado. Os nacionais brasileiros são semeados automaticamente, inclusive os móveis; adicione os locais com Adicionar feriado ou use Re-semear nacionais.
Decoders por expressão
Assinaturas customizadas por expressão sobre campos do fluxo (src_port, dst_port, packet_len, proto, tcp_flags, com operadores de comparação e lógicos). Cada decoder vira uma classe de tráfego com limiar próprio (Métrica do limiar em pps ou Mbps) e passa pelo mesmo anti-falso-positivo das regras nativas. Há exemplos prontos (amplificação SNMP/DNS/NTP, DNS query flood, flood HTTP/S, volumétrico) e um limite de decoders ativos.
Forense profunda (amostra de cabeçalho)
Análises avançadas de fingerprint exigem amostra de cabeçalho que o NetFlow não traz. Dois caminhos: captura sob demanda no console de incidente, sem hardware extra, ou sFlow contínuo por porta de espelho (opt-in, gateado pela RAM livre). O card Fonte sFlow (forense contínua) tem o botão Verificar agora com diagnóstico do que está chegando, e o wizard Como ligar a fonte sFlow traz abas por plataforma: Sampler embutido (recomendado), Mikrotik (RouterOS), Huawei NE / port-mirror e Switch com sFlow nativo. A opção Inspeção de payload (DPI) — entropia + assinatura guarda apenas métricas derivadas, nunca o conteúdo dos pacotes.
Severidade por impacto Novo na 7.2
"É ataque?" e "isso importa?" são perguntas diferentes. A severidade por impacto decide se um ataque é crítico pelo quanto ele consome do link e por quanto tempo dura, não só pelo tipo. Assim a equipe não é acordada por picos pequenos de 20 a 200 Mbps que duram 1 ou 2 minutos: eles viram apenas registro no histórico.
A configuração fica na aba Alertas, card Severidade por impacto, com o toggle Reclassificar ataques pelo impacto na rede (ligado por padrão) e os limiares:
| Limiar | Padrão | Efeito |
|---|---|---|
| Considerar CRÍTICO a partir de X % da capacidade do link | 50% | Pico acima desse percentual da capacidade de referência escala para crítico. |
| Considerar ATENÇÃO a partir de | 15% | Percentual mínimo para warning. |
| Piso de tráfego — abaixo disto nunca é crítico | 200 Mbps | Ataque abaixo do piso nunca vira crítico (curto vira info, longo vira warning). |
| Sustentado por N min vira crítico | 30 min | Ataque pequeno mas persistente sobe para crítico. |
Como o impacto é medido: pico do ataque dividido pela capacidade de referência, que é a banda contratada do cliente quando cadastrada, senão o maior link da borda; sem nenhuma referência, a decisão é por volume absoluto. Existe ainda uma rede de segurança que escala um pico muito alto para crítico mesmo em bordas de grande capacidade.
O evento guarda as duas severidades, a da regra e a efetiva por impacto. É a efetiva que governa o alerta e a exibição nas telas.
Mitigação: FlowSpec e RTBH
Quando a detecção aponta um ataque, a mitigação é a ação que o derruba, enviada aos roteadores de borda por BGP. Por padrão nada é automático: o sistema sugere e você aprova.
| Técnica | O que faz |
|---|---|
| Bloqueio cirúrgico (FlowSpec) | Derruba só o tráfego do ataque; o resto do cliente continua funcionando. |
| Blackhole (RTBH) | Descarta TODO o tráfego do IP atacado: salva a rede, mas o IP fica fora do ar. |
Quando usar cada uma
A recomendação exibida no console de incidente é determinística, calculada a partir do vetor detectado e da capacidade do equipamento:
- Equipamento sem suporte a FlowSpec (por exemplo, Mikrotik): só RTBH. O Ravi anuncia a rota /32 da vítima com blackhole na borda e o tráfego ao alvo morre no uplink; o IP sai do ar.
- Equipamento com FlowSpec: match cirúrgico por vetor. Amplificação casa a porta de origem do serviço refletor sobre UDP; SYN/ACK/RST flood casa a flag TCP; flood de consultas DNS casa a porta de destino 53; fragmentação casa o critério de fragmento; ataque genérico casa protocolo e porta do fluxo dominante.
- Carpet bombing: o mesmo match cirúrgico é aplicado ao bloco inteiro (destino em CIDR), bloqueando o ataque em todos os destinos de uma vez sem derrubar os destinos legítimos do bloco.
Regra de bolso: prefira FlowSpec quando a borda suporta, porque preserva o cliente. Use RTBH quando a borda não suporta, quando o upstream só aceita blackhole ou como último recurso em ataque que satura o link. No console de incidente, os botões correspondentes são Mitigar por vetor e Blackhole (RTBH) (ver Console de incidente).
Templates FlowSpec
O card Templates FlowSpec é uma biblioteca de regras reutilizáveis para aplicar durante um ataque ou referenciar em um playbook. Em Novo template: nome, descrição, Protocolo (Qualquer, TCP, UDP ou ICMP), Porta de origem, Porta de destino, Flags TCP, É fragmento, Tamanho do pacote (com operador) e a ação: Descartar ou Limitar taxa (bps). O botão Aplicar pede o IP ou bloco (CIDR) alvo e anuncia a regra via FlowSpec aos roteadores capazes. Importar e Exportar em JSON permitem levar a biblioteca de um servidor Ravi a outro.
Grupos de anúncio
O card Grupos de anúncio direciona a mitigação a um subconjunto de roteadores (por exemplo, anunciar blackhole só às bordas). Sem grupos, a mitigação vai a todos os roteadores ativos. Em Novo grupo: nome, Roteadores do grupo e Community interna (avançado), anexada à rota para o roteador direcionar; em branco, é gerada automaticamente.
Communities BGP
O card Communities BGP é o catálogo de communities classificadas em Engenharia de tráfego, Mitigação e Blackhole, para anexar aos anúncios de blackhole conforme a política do upstream.
Diagnóstico de viabilidade
Antes de confirmar uma mitigação, o sistema verifica se o anúncio vai surtir efeito e avisa com o motivo exato quando não vai:
- Nenhum roteador de mitigação cadastrado (aponta para Configurações do Flow › Mitigação).
- O serviço de anúncio BGP do Ravi não está no ar no servidor.
- A sessão BGP não está estabelecida: o roteador precisa aceitar o vizinho iBGP do Ravi na TCP 179 (a tela sugere usar Revisar configuração (IA)).
- Sessão de pé, mas a família FlowSpec não foi negociada: habilite a família no vizinho ou use o Blackhole (RTBH), que só exige unicast.
Sessão BGP de mitigação
Para aplicar FlowSpec ou RTBH, o Ravi precisa de uma sessão iBGP com cada roteador que vai executar o bloqueio. O card Roteadores que aplicam o bloqueio, na aba Mitigação, mostra os exportadores automaticamente como cards com toggle: ligar cria e ativa a sessão de mitigação com os padrões do exportador (mesmo ASN dos dois lados). Cada peer exibe o badge FlowSpec ou RTBH conforme a capacidade.
Se o exportador não tem ASN conhecido, a tela avisa: Informe o ASN do roteador para ativar (no Ajuste avançado).
Para um roteador que não é exportador, use Adicionar outro roteador:
| Campo | O que faz |
|---|---|
| Nome e IP do roteador | Identificação e endereço do vizinho BGP. |
| Seu ASN e ASN do roteador | Os dois lados da sessão (iguais em iBGP). |
| Comunidade (RTBH) | Community anexada ao anúncio de blackhole, por exemplo 65535:666. |
| Next-hop (RTBH) | Next-hop do anúncio de blackhole, por exemplo 192.0.2.1. |
| Roteador suporta FlowSpec (bloqueio cirúrgico) | Marque se a borda negocia a família FlowSpec. |
O que configurar no roteador
No lado do equipamento, configure um vizinho iBGP apontando para o servidor Ravi, com as famílias ipv4 unicast (para RTBH) e ipv4 flowspec (para o bloqueio cirúrgico), aceitando a conexão na TCP 179. As receitas por marca estão no guia do catálogo, e o Revisar configuração (IA) aplica tudo sozinho. No Mikrotik, que não tem FlowSpec, a receita trata as rotas /32 recebidas do Ravi como blackhole via filtro de rota.
Detalhe que evita sessão que não sobe: o endereço de origem do vizinho no roteador (connect-interface/local-address) deve ser o mesmo IP configurado como origem do export de fluxo. Do lado Ravi, o endereço local é resolvido automaticamente.
Tabela BGP (coleta de rotas), opcional
A aba Tabela BGP configura sessões separadas, de coleta: o Ravi lê a tabela de rotas do roteador para saber o caminho exato de cada tráfego (vizinho, operadora, AS_PATH) em vez de estimar. Sem isso o Flow já funciona. O card Coleta de rotas (route enrichment) tem o toggle Ativar coleta de rotas BGP e, no ajuste avançado, o Intervalo de releitura da RIB (segundos). No card Roteadores que entregam a tabela de rotas, os exportadores viram cards com toggle, com status Estabelecida ou Inativa e a contagem de prefixos recebidos; Adicionar outra sessão aceita nome, IP do vizinho, Nosso ASN, ASN do peer, Relação (iBGP, trânsito, peering, CDN ou cache, que alimenta a lente de custo) e eBGP multihop.
A coleta habilita: upstream real na lente de custo e peering, AS_PATH e communities no lookup de rota, sugestão de redes na aba Minhas redes, a detecção de hijack BGP e o Sankey do caminho do ataque com dados reais. Full table é suportada até a casa de 1 milhão de rotas; para full table confortável, recomenda-se servidor com 12 GB de RAM ou mais.
Aprovação em 1 clique Novo na 7.2
O alerta de ataque no WhatsApp, Telegram ou e-mail pode incluir um link mágico que aprova o bloqueio com 1 clique, direto do celular, sem entrar no painel. A aprovação humana continua sendo sua; só o caminho fica mais curto.
Configuração
Na aba Alertas, card Link de aprovação:
- URL pública do sistema: em branco, usa o endereço detectado automaticamente (domínio SSL do sistema ou IP público, exibido como Detectado automaticamente). Preencha apenas para forçar outro endereço, por exemplo atrás de proxy reverso.
- Validade do link: padrão 15 minutos, ajustável de 1 a 1440.
Como funciona
- Para cada ataque elegível, o sistema gera um token de uso único e anexa o link ao alerta.
- A página do link abre sem login (o token é a autorização) e mostra o ataque: alvo, roteador, tipo e vetor, pico e a ação proposta (bloqueio cirúrgico FlowSpec ou blackhole RTBH).
- Só o botão Confirmar bloqueio executa a ação. Abrir o link apenas exibe as informações, portanto o preview automático do WhatsApp ou Telegram não dispara nada.
- A ação executada é exatamente a fixada no registro do ataque (alvo, vetor, modo, protocolo e porta); não é possível adulterar nada pela URL. Cada link vale uma única vez, com proteção contra duplo clique.
Estados de erro são amigáveis: link já utilizado, link expirado (aprove pelo painel), link inválido ou falha ao aplicar. Se, após confirmar, o lado Ravi não puder anunciar (sessão BGP fora do ar, família FlowSpec não negociada ou serviço de anúncio parado), a página mostra o aviso de viabilidade com o que falta, e a aprovação fica preservada.
A URL pública precisa ser alcançável do celular da equipe, fora da LAN. Se o endereço detectado for um IP privado, o link não abre fora da rede: preencha a URL pública do sistema com um endereço acessível.
Auto-mitigação
Com o auto-modo ligado, ataques críticos sustentados são mitigados automaticamente com FlowSpec por vetor e revertidos por tempo, sem intervenção. O padrão de fábrica é manual (desligado): o sistema sugere e você aprova.
Card Auto-modo de mitigação, na aba Mitigação:
| Opção | O que faz |
|---|---|
| Ligar auto-mitigação (global) | Chave geral do auto-modo. |
| Auto-mitigar apenas ataques críticos | Ignora warnings; ligado por padrão. |
| Desfazer o bloqueio sozinho depois de N minutos | Tempo de auto-reversão do bloqueio; padrão 30 minutos, de 1 a 1440. |
| Aplicar em | Todos os exportadores ou Apenas selecionados, com toggle por exportador. |
| Anunciar para | Todos os roteadores ou um grupo de anúncio específico. |
Redes protegidas
O card de redes protegidas lista os blocos que o sistema nunca bloqueia sozinho, por exemplo clientes críticos. Adicionar rede protegida abre um picker com Suas redes monitoradas e a opção Outra rede (digite o bloco). A proteção vale só para a mitigação automática: a manual continua possível.
Mantenha a auto-mitigação desligada até validar as sessões BGP de mitigação e a lista de redes protegidas. Comece com aprovação manual e o link de 1 clique; ligue o auto-modo depois que confiar no comportamento.
Playbook de resposta
O card Resposta a incidentes (playbook), na aba Detecção, define o que o sistema faz quando um ataque acontece, com ações em ordem nas fases Ao iniciar e Ao encerrar. É aditivo aos alertas normais, não os substitui.
- Modo simples: o toggle Resposta automática a ataque crítico aplica a mitigação automática (FlowSpec por vetor) ao detectar um crítico. É opt-in; o padrão do sistema é aprovação manual.
- Playbooks avançados: Adicionar playbook com Severidade mínima, Dispara em (direção entrada, saída ou ambas) e Esperar antes de agir (min), um anti-blip que exige que o ataque persista N minutos antes de qualquer ação.
Em cada fase, o Tipo de ação aceita: E-mail, Telegram, WhatsApp, Webhook, Script, Mitigar (FlowSpec) e Blackhole (RTBH). O campo Parâmetros (JSON) configura cada ação, por exemplo:
# Webhook {"url":"https://noc.seuprovedor.com.br/hook"} # Script {"cmd":"meu_script.sh"} # E-mail {"to":"noc@seuprovedor.com.br"}
A ação de mitigação pode referenciar um template FlowSpec e um grupo de anúncio. Comportamento em tempo de ataque: o sistema escolhe o playbook mais específico (a maior severidade mínima que casa com o evento), cada fase roda uma única vez por evento, e a decisão usa a severidade efetiva por impacto, o que evita mitigação automática por ruído reclassificado. Tudo fica auditado em um log visível no console de incidente.
Segurança do tipo Script: o executável precisa estar dentro da pasta liberada no servidor (/var/www/html/flow/scripts por padrão), roda com timeout de 30 segundos e recebe o contexto por variáveis de ambiente (FLOW_DST, FLOW_SRC, FLOW_VETOR, FLOW_PPS, FLOW_BPS, FLOW_EVENTO), sem interpolação de shell.
Custo de trânsito e peering
A aba Custo de trânsito classifica os ASNs vistos no tráfego pela relação comercial, alimentando a lente de custo do dashboard e as recomendações de peering. O sistema já reconhece sozinho as grandes CDNs (Google, Netflix, Akamai, Cloudflare, Meta e outras); você só precisa marcar com quem tem conexão direta (peering) ou cache local.
| Relação | Significado |
|---|---|
| Trânsito | Internet que você paga (caminho padrão). |
| Peering | Conexão direta, sem pagar trânsito. |
| CDN | Rede de conteúdo (vídeo, streaming). |
| Cache | Servido de dentro da sua rede. |
A tela tem as sub-abas Sugestões (ASNs vistos no tráfego ainda não classificados, com um palpite do sistema) e Salvas, além de busca e adição manual com o campo Relação.
Confirme apenas relações que realmente existem (acordo ativo). Marcar peering ou cache que não existe distorce o cálculo de custo e gera falso positivo nas recomendações.
Como o sistema classifica, em ordem de prioridade: relação declarada na sessão BGP de coleta, depois a tabela manual desta aba, depois a heurística de nome de CDN e, por fim, trânsito. Quando a coleta de rotas está ligada, a classificação usa o upstream real de cada fluxo e o card ganha o selo de roteamento real; sem BGP, cai na heurística por ASN.
O resultado aparece no dashboard do Flow: donut por relação, tráfego pago versus otimizado e as Recomendação de peering, que apontam os maiores ASNs chegando por trânsito pago (ação: peerar) e CDNs não otimizadas (ação: cachear ou peerar). Veja Dashboard do Flow.
Capacidade do servidor
A aba Capacidade do servidor lê os recursos reais da máquina e decide o que ela comporta. Funcionalidades pesadas só podem ser ativadas se a estrutura aguentar: o que não cabe aparece bloqueado, com o motivo.
O card de métricas ao vivo mostra a Classificação do servidor (Pequeno, Médio ou Parrudo), RAM total, RAM livre, Núcleos, Carga (load), Memória do coletor, Fluxos/s e Disco livre (o disco nunca bloqueia nada). Servidor pequeno: menos de 4 GB de RAM ou até 2 núcleos; parrudo: 8 GB ou mais e 4 núcleos ou mais.
O card Funcionalidades pesadas mostra o estado de cada recurso: Suportada, No limite ou Bloqueada.
| Recurso | Liberado a partir de | Bloqueado abaixo de |
|---|---|---|
| ClickHouse (Explorer) | 8 GB de RAM e 4 núcleos | 5 GB de RAM ou menos de 4 núcleos |
| GeoIP nível cidade | 2 GB de RAM total | 1,5 GB de RAM total |
| Captura forense sob demanda | 1 GB de RAM livre | 512 MB de RAM livre |
| sFlow forense contínuo | 2 GB de RAM livre | 1 GB de RAM livre |
O estado No limite aparece entre os dois limiares, ou quando a RAM livre está abaixo de 15% ou a carga por núcleo acima de 1,5: dá para ativar, mas com atenção. O bloqueio vale na tela (toggle desabilitado com cadeado e motivo) e também no servidor, que recusa a ativação: não é possível ligar algo que derrube a máquina.
Na aba Explorar, quando o backend ClickHouse (appliance parrudo) não é comportado pelo servidor, a opção aparece desabilitada com o motivo e o link Ver capacidade do servidor. O toggle desabilitado não é defeito: é o gate de capacidade.
Acesso por grupo Novo na 7.2
O Flow pode ser entregue a equipes internas ou a clientes do provedor sem vazar dados de terceiros, através dos grupos de acesso.
No cadastro do grupo de usuários existem 3 níveis para o Flow: Não incluir Flow, Incluir Flow (somente leitura) e Incluir e gerenciar Flow. Usuários Master veem tudo e têm acesso à engrenagem de configurações.
Além do nível, o grupo pode ser limitado a exportadores específicos (Selecione os exportadores que este grupo pode ver). Para um usuário escopado:
- Todo o dashboard, o Explorer e as demais telas mostram apenas o tráfego dos exportadores permitidos; a visão geral é reconstruída só com eles.
- Os cards que abrangem o provedor inteiro somem por projeto: score de Risco da rede, Saúde do Flow, Clientes, mapa-múndi e a lente de peering e custo de trânsito. Não é defeito: é isolamento de dados.
A configuração dos grupos em si fica em Grupos de acesso.