A análise do tráfego e detectar ataques
Detectar o ataque
Para detetar um ataque, utilizamos o netflow que é enviado pelos routers e analisado pelos equipamentos Arbor PeakFlow. Cada router transmite um resumo de 1/2000 do tráfego que o atravessa regularmente. Os equipamentos PEakFlow analisam esses resumos e comparam-nos com as assinaturas dos ataques. Se a comparação é positiva, a mitigação entra em ação em alguns segundos.
As “assinaturas” analisadas baseiam-se no número de “pacotes por segundo” (pps, Kpps, Mpps, Gpps) ou “bytes por segundo” (bps, Kbps, Mbps, Gbps) nalguns tipos de pacotes como:
- DNS ;
- ICMP ;
- IP Fragment ;
- IP NULL ;
- IP Privado ;
- TCP NULL ;
- TCP RST ;
- TCP SYN ;
- UDP ;
- Tráfego total.
Considerando que é necessário que alguns limites sejam ultrapassados e que apenas 1/2000 do tráfego real é analisado, a implementação da mitigação pode levar entre 15 e 120 segundos.