¶ Como identificar tráfego anormal ou um ataque DDoS
Explicando formas de identificar um tráfego anormal ou um ataque ddos.
Para identificar um trafego anormal ou um ataque DDoS, podemos utilizar de vários gráficos e informações dentro do Made4Flow.
¶ Alguns exemplos de trafego anormal são:
-
Um trafego incomum em uma interface
-
Um aumento de trafego inesperado
-
Ataque de negação de Serviço DDoS
¶ Para a identificação podemos usar os seguintes tipos de gráficos e informações:
-
Interface por ASN para localizar o ASN de Origem ou de Destino
-
Interface por App para identificar qual aplicação (Porta TCP/UDP) está com a anomalia
-
Interface por Interface para identificar para qual interface está saindo o trafego
-
Interface por prefixo para identificar qual prefixo da rede está com o trafego anormal
-
Relatório de dados bruto com as informações do trafego
Dentro do Gráfico de Interface por ASN, nos podemos ter a seguinte informação:
No gráfico usamos os filtros de Roteador, interface e Monitorado como não monitorado para que possa apresentar todos os ASN e também o tipo Origem, para saber os ASN’s de Origem do Trafego.
Caso queria você pode usar o filtro de Tipo como Destino para saber qual o ASN de destino do trafego anormal.
Para acesso deste gráfico use o menu -> Gráfico -> Interface por ASN.
Uma outra forma de verificar o trafego anormal ou incomum é olhando qual aplicação está consumindo ele. Para isso você pode acessar o menu -> Gráficos -> Interface por App
Como no gráfico abaixo:
No exemplo usamos os filtros de App com todas selecionadas para que possamos verificar qual aplicação tem o maior uso ou uso incomum de trafego.
Utilizando o gráfico de interface por interface que se encontra em Menu -> Gráficos -> Interface por Interface, nos podemos observar para qual interface o trafego foi encaminhado.
Como mostrado no gráfico é possível visualizar para onde o trafego foi roteado
Caso nessas visualizações você não tenha uma informação mais precisa, você pode visualizar os dados bruto que onde podemos verificar os cabeçalhos dos pacotes que passaram pela sua rede.
Para acesso dos dados bruto temos 2 formas principais, a primeira é acessar o menu -> Dados Brutos e a segunda forma é clicar no gráfico para que ele gere a informação especifica do que você procura.
Por exemplo:
Veja também o nosso vídeo tutorial: