Demonstrar como ativar e configurar a detecção por Subnet no módulo Anti-DDoS, destacando as diferenças em relação à detecção por IP único, suas vantagens e desvantagens, e como ajustar os decodificadores para esse tipo de detecção.
Antes configurar uma Threshold no módulo Anti-DDoS, é importante entender as diferenças entre os dois modos de detecção disponíveis:
Detecção por IP único: Maior controle e precisão, especialmente em ambientes com IPs críticos ou serviços específicos.
Definição: As regras de detecção analisam individualmente o tráfego de cada IP dentro dos prefixos cadastrados na threshold.
Vantagem: Permite identificar ataques direcionados a IPs específicos, com maior precisão e controle sobre falsos positivos.
Desvantagem: Pode gerar muitos alertas se houver tráfego intenso em múltiplos IPs ao mesmo tempo.
Detecção por Subnet: Detecção mais ampla, útil em redes de alta densidade ou para clientes que compartilham o mesmo bloco.
Definição: As regras consideram o tráfego total combinado de todos os IPs dos prefixos atribuídos à threshold, ou seja, a detecção é feita de forma agregada.
Vantagem: Ideal para ambientes compartilhados ou quando o tráfego por IP é baixo, mas o volume total pode indicar um ataque. Reduz a quantidade de alertas.
Desvantagem: Menor precisão — ataques a IPs individuais podem passar despercebidos se o tráfego total da subnet estiver abaixo do limiar definido.
Através do menu lateral esquerdo do Made4flow, entre no módulo do Anti-DDoS:
Ponto importante para que falsos positivos possam ser ajustados sem impactar no tráfego legítimo, para isso vamos criar uma Resposta sem ação (mitigação, blackhole ou flowspec) associadas, para vincularmos temporariamente nos decodificadores de Subnet que adicionaremos. Para isso acesse a aba de Ações e Respostas, clique no botão Adicionar Resposta:
Nessa tela definiremos o Nome da Resposta como "Homologação Decodificador", em Associar thresholds deixamos sem selecionar as opções, na Descrição podemos usar algo como "Resposta sem ação associada, para ser usada na homologação de novos decodificadores", em seguida salvamos a Resposta e na tela seguinte salvamos novamente sem adicionar as ações:
Teremos a Resposta criada como na imagem abaixo, sem Thresholds associadas e sem ações-Trigger/Expire vinculadas, então podemos seguir para os decodificadores de Subnet:
Na aba de Thresholds, clique no botão Editar da threshold que deseja ativar a detecção por subnet:
Ao acessar a threshold, serão apresentados todos os decodificadores ativos para aquela threshold, no caso, apenas de detecção por IP único, você pode confirmar pela coluna Tipo:
Através do botão Adicionar um novo decodificador, será aberto um pop-up e nele vamos selecionar o Tipo como Subnet, definir o valor (abordaremos em um tópico específico nesta wiki), a unidade que na grande maioria dos casos é utilizada a padrão para Pacotes - PPS (pacotes por segundo) e para Bits - Mbps (megabits por segundo), e por fim a resposta personalizada para este decodificador, onde podemos definir a Resposta criada sem ação associada que chamamos de "Homologação Decodificador":
Setamos os decodificadores de subnet com os valores aproximadamente 3x maiores do que está configurado para IP único, já que o tráfego que será analisado é com base nos prefixos cadastrados na threshold. Se possível utilizar prefixos com pico de tráfego semelhante na mesma threshold, para que as regras sejam coerentes para os mesmos prefixos evitando falsos positivos e aumentando a precisão da detecção. No exemplo da imagem abaixo, adicionamos os decodificadores "Total" para Subnet com 315000 pps e 3500 Mbps, levando em consideração os valores de IP único multiplicado por 3:
A vantagem dessa abordagem é a rapidez com que adicionamos os novos decoders de Subnet, mas como desvantagem, temos um período maior de ajustes dos falsos positivos até que as regras fiquem com falsos positivos estáveis.
Para todos os cenários, você optar por definir regras mais baixas e ir ajustando os falsos positivos até que se estabilizem, e é importante lembrar também que temos uma wiki que orienta como validar e ajustar os falsos positivos.
Para esse caso vamos precisar cadastrar previamente no Made4flow os prefixos que serão separados nas thresholds (mesmo que temporariamente) e criar as regras com base no tráfego desses prefixos olhando o tráfego de cada prefixo em específico.
Para cadastrar os prefixos, devemos voltar ao Made4flow, acessar a aba de Prefixos e caso esses prefixos já não estejam cadastrados, podemos clicar no botão "Adicionar prefixo", adicionar o bloco, a descrição, a versão, deixá-lo como monitorado e salvar. Fazer o mesmo para os demais prefixos:
A partir desse momento os filtros nos gráficos com base nesses prefixos já serão possíveis, lembrando que o tráfego nos gráficos serão contabilizados para esses prefixos a partir do momento dos cadastros, então o ideal é aguardar 24 horas para que o tráfego seja contabilizado no momento de baixa e pico de tráfego.
Após o período de contabilização dos dados, podemos acessar o gráfico Prefixo na aba de Gráficos, selecionar o prefixo e gerar o gráfico duas vezes, a primeira utilizando o valor de saída em Bits por segundo:
Em seguida em Pacotes por segundo, então pegamos o valor de pico de tráfego que geralmente é em torno das 21 horas e acrescentamos uma margem de cinco à dez por cento a mais para evitar os falsos positivos:
Podemos utilizar também o gráfico App acessando a aba de gráficos, que nos mostrará o tráfego geral por aplicações considerando todos os prefixos cadastrados no Made4flow de maneira geral, poderemos ver por Porta 0 UDP, BGP 179 TCP, DNS 53 UDP, SNMP 161 UDP, SSH 22 TCP, Telnet 23 TCP, entre outras opções. Essas informações podem servir como base para setar as regras dos decodificadores específicos:
Para todos os cenários, você optar por definir regras mais baixas e ir ajustando os falsos positivos até que se estabilizem, e é importante lembrar também que temos uma wiki que orienta como validar e ajustar os falsos positivos.
Após adicionar os decodificadores com o valores encontrados através de uma das abordagens acima, basta salvar as alterações nas thresholds:
Após criar e salvar os decodificadores, é necessário aplicar as alterações:
Ativar a detecção por Subnet é uma estratégia eficaz para cenários com múltiplos IPs e grande volume de tráfego agregado. Requer uma abordagem cuidadosa na definição dos decodificadores para equilibrar precisão e quantidade de alertas. Sempre que possível utilizar dados dos históricos de tráfego, para iniciar a homologação das regras com valores mais alinhadas à realidade da rede.