Em redes de provedores, datacenters e ambientes corporativos, nem todo tr\u00e1fego relevante passa por portas conhecidas como 80<\/strong>, 443<\/strong>, 53<\/strong>, 22<\/strong> ou 25<\/strong>.<\/p>\n\n\n\n Aplica\u00e7\u00f5es P2P, jogos online, sistemas propriet\u00e1rios, t\u00faneis, tr\u00e1fego lateral e alguns padr\u00f5es de ataque podem utilizar portas altas<\/strong> tanto na origem quanto no destino.<\/p>\n\n\n\n No Wanguard, \u00e9 poss\u00edvel criar Custom Decoders<\/strong> para classificar esse tipo de tr\u00e1fego com mais precis\u00e3o. Neste artigo, vamos detalhar a configura\u00e7\u00e3o do decoder TCP-1024<\/strong>, criado para identificar tr\u00e1fego TCP onde:<\/p>\n\n\n\n Esse decoder pode ser usado em sensores de fluxo, sensores de pacote, filtros DPDK, filtros Netfilter e integra\u00e7\u00f5es de mitiga\u00e7\u00e3o com BGP FlowSpec<\/strong> via GoBGP<\/strong> ou ExaBGP<\/strong>.<\/p>\n\n\n\n O objetivo do decoder TCP-1024<\/strong> \u00e9 classificar conex\u00f5es TCP que utilizam portas altas nos dois lados da comunica\u00e7\u00e3o.<\/p>\n\n\n\n Em termos pr\u00e1ticos, ele identifica tr\u00e1fego com o seguinte perfil:<\/p>\n\n\n\n Exemplo de tr\u00e1fego que ser\u00e1 classificado por esse decoder:<\/p>\n\n\n\n Exemplo de tr\u00e1fego que n\u00e3o<\/strong> ser\u00e1 classificado por esse decoder:<\/p>\n\n\n\n No segundo exemplo, apesar da porta de origem ser alta, a porta de destino \u00e9 443<\/strong>. Portanto, o tr\u00e1fego n\u00e3o atende ao crit\u00e9rio do decoder, pois as duas portas precisam ser maiores ou iguais a 1024.<\/p>\n\n\n\n A configura\u00e7\u00e3o principal do decoder \u00e9:<\/p>\n\n\n\n Essa estrutura indica que o tr\u00e1fego classificado pelo decoder \u00e9 um subconjunto de TCP<\/strong> e IP<\/strong>, podendo ser analisado tanto em IPv4<\/strong> quanto em IPv6<\/strong>.<\/p>\n\n\n\n As Flow Matching Expressions<\/strong> s\u00e3o usadas quando o Wanguard recebe estat\u00edsticas por fluxo, como NetFlow<\/strong>, IPFIX<\/strong> ou sFlow<\/strong>.<\/p>\n\n\n\n Explica\u00e7\u00e3o:<\/p>\n\n\n\n O protocolo TCP \u00e9 representado pelo n\u00famero 6<\/strong> no cabe\u00e7alho IP. O operador Isso significa que a porta 1024 tamb\u00e9m \u00e9 inclu\u00edda<\/strong> na classifica\u00e7\u00e3o. Usar Quando o Wanguard utiliza o GoBGP<\/strong> como conector BGP para an\u00fancio de regras FlowSpec, a sintaxe configurada \u00e9:<\/p>\n\n\n\n Essa express\u00e3o informa ao conector que a regra FlowSpec deve casar:<\/p>\n\n\n\n Essa configura\u00e7\u00e3o \u00e9 \u00fatil quando a mitiga\u00e7\u00e3o precisa ser instalada diretamente nos roteadores de borda, reduzindo o tr\u00e1fego indesejado antes que ele chegue ao destino protegido.<\/p>\n\n\n\n Observa\u00e7\u00e3o:<\/strong> em alguns ambientes, dependendo da vers\u00e3o do conector e do parser utilizado, pode ser necess\u00e1rio representar o protocolo como n\u00famero ( Para ambientes que utilizam ExaBGP<\/strong> como conector BGP, a sintaxe equivalente \u00e9:<\/p>\n\n\n\n Explica\u00e7\u00e3o:<\/p>\n\n\n\n Aten\u00e7\u00e3o: n\u00e3o basta filtrar apenas As Packet Matching Expressions<\/strong> s\u00e3o usadas quando o Wanguard analisa pacotes individualmente, por exemplo em cen\u00e1rios com:<\/p>\n\n\n\n A express\u00e3o BPF configurada \u00e9:<\/p>\n\n\n\n Essa sintaxe segue a l\u00f3gica usada em ferramentas como Explica\u00e7\u00e3o:<\/p>\n\n\n\n Um teste equivalente em uma interface Linux seria:<\/p>\n\n\n\n Esse teste pode ser usado para validar se o tr\u00e1fego esperado est\u00e1 chegando na interface monitorada antes de ativar pol\u00edticas de mitiga\u00e7\u00e3o autom\u00e1ticas.<\/p>\n\n\n\n Quando o Wanguard Filter opera com DPDK, a express\u00e3o ACL IPv4 configurada \u00e9:<\/p>\n\n\n\n Explica\u00e7\u00e3o dos campos:<\/p>\n\n\n\n Essa regra n\u00e3o restringe IP de origem, IP de destino ou flags TCP. O crit\u00e9rio principal \u00e9 o protocolo TCP com portas altas nos dois lados.<\/p>\n\n\n\n Corre\u00e7\u00e3o aplicada:<\/strong> n\u00e3o \u00e9 recomendado afirmar de forma absoluta que a ACL DPDK exige duas linhas id\u00eanticas para este decoder. Caso a vers\u00e3o espec\u00edfica do Wanguard ou o template do ambiente exija duas entradas para cobrir dire\u00e7\u00f5es distintas, siga o padr\u00e3o validado no pr\u00f3prio ambiente. Para a l\u00f3gica do decoder apresentada aqui, a linha acima representa a condi\u00e7\u00e3o desejada.<\/p>\n<\/blockquote>\n\n\n\n A vers\u00e3o equivalente para IPv6 \u00e9:<\/p>\n\n\n\n Explica\u00e7\u00e3o:<\/p>\n\n\n\n Esse ponto \u00e9 importante em redes de provedores, pois o tr\u00e1fego IPv6 pode representar uma parcela relevante dos assinantes. Se o ambiente possui IPv6 ativo, o decoder deve estar corretamente definido tamb\u00e9m para IPv6.<\/p>\n\n\n\n Para cen\u00e1rios em que o Wanguard Filter utiliza Netfilter\/iptables<\/strong> no kernel Linux, a express\u00e3o recomendada \u00e9:<\/p>\n\n\n\n Essa express\u00e3o mant\u00e9m a mesma l\u00f3gica do decoder:<\/p>\n\n\n\n A vantagem dessa forma \u00e9 a simplicidade. Como h\u00e1 apenas um range de porta de origem e um range de porta de destino, n\u00e3o h\u00e1 necessidade de usar Caso seja utilizado O decoder TCP-1024 \u00e9 um subconjunto do tr\u00e1fego TCP, e TCP \u00e9 um subconjunto de IP. Por isso, faz sentido manter Essa configura\u00e7\u00e3o ajuda o Wanguard a organizar corretamente a contabiliza\u00e7\u00e3o em gr\u00e1ficos, relat\u00f3rios e estat\u00edsticas.<\/p>\n\n\n\n Como o tr\u00e1fego TCP-1024 tamb\u00e9m pode ser classificado genericamente como TCP, existe sobreposi\u00e7\u00e3o com decoders mais amplos.<\/p>\n\n\n\n O campo A op\u00e7\u00e3o protocolo = TCP\nporta de origem >= 1024\nporta de destino >= 1024<\/code><\/pre>\n\n\n\n
\n\n\n\nObjetivo do decoder TCP-1024<\/h2>\n\n\n\n
Protocolo: TCP\nPorta de origem: 1024 at\u00e9 65535\nPorta de destino: 1024 at\u00e9 65535<\/code><\/pre>\n\n\n\nOrigem: 198.51.100.10:54321\nDestino: 203.0.113.20:27015\nProtocolo: TCP<\/code><\/pre>\n\n\n\nOrigem: 198.51.100.10:54321\nDestino: 203.0.113.20:443\nProtocolo: TCP<\/code><\/pre>\n\n\n\n
\n\n\n\nVis\u00e3o geral da configura\u00e7\u00e3o<\/h2>\n\n\n\n
Campo<\/th> Valor<\/th><\/tr><\/thead> Decoder Name<\/strong><\/td> TCP-1024<\/code><\/td><\/tr>Decoder Description<\/strong><\/td> TCP PORTAS ALTAS 1024<\/code><\/td><\/tr>Included Decoders<\/strong><\/td> IP, TCP<\/code><\/td><\/tr>Conflicting Decoders<\/strong><\/td> IP, TCP<\/code><\/td><\/tr>Filter Engine<\/strong><\/td> Generic IPv4\/IPv6<\/code><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\nFlow Matching Expressions<\/h2>\n\n\n\n
Flow Syntax<\/h3>\n\n\n\n
proto 6 and src port ge 1024 and dst port ge 1024<\/code><\/pre>\n\n\n\nExpress\u00e3o<\/th> Significado<\/th><\/tr><\/thead> proto 6<\/code><\/td>Filtra apenas tr\u00e1fego TCP<\/td><\/tr> src port ge 1024<\/code><\/td>Porta de origem maior ou igual a 1024<\/td><\/tr> dst port ge 1024<\/code><\/td>Porta de destino maior ou igual a 1024<\/td><\/tr> and<\/code><\/td>Todas as condi\u00e7\u00f5es precisam ser verdadeiras<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n ge<\/code> significa greater than or equal<\/strong>, ou seja, maior ou igual<\/strong>.<\/p>\n\n\n\ngt 1024<\/code> seria diferente, pois excluiria a porta 1024.<\/p>\n\n\n\n
\n\n\n\nGoBGP Syntax<\/h2>\n\n\n\n
source-port >=1024 destination-port >=1024 protocol tcp<\/code><\/pre>\n\n\n\nprotocolo TCP\nporta de origem >= 1024\nporta de destino >= 1024<\/code><\/pre>\n\n\n\n\n
protocol 6<\/code>) em vez de nome (protocol tcp<\/code>). A valida\u00e7\u00e3o deve ser feita no ambiente antes da ativa\u00e7\u00e3o autom\u00e1tica.<\/p>\n<\/blockquote>\n\n\n\n
\n\n\n\nExaBGP Syntax<\/h2>\n\n\n\n
protocol [6]; source-port [>=1024]; destination-port [>=1024];<\/code><\/pre>\n\n\n\nExpress\u00e3o<\/th> Significado<\/th><\/tr><\/thead> protocol [6]<\/code><\/td>Protocolo TCP<\/td><\/tr> source-port [>=1024]<\/code><\/td>Porta de origem maior ou igual a 1024<\/td><\/tr> destination-port [>=1024]<\/code><\/td>Porta de destino maior ou igual a 1024<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n protocol [6]<\/code>, pois isso corresponderia a todo tr\u00e1fego TCP. Para manter o decoder coerente, as condi\u00e7\u00f5es de porta precisam estar presentes.<\/p>\n\n\n\n
\n\n\n\nPacket Matching Expressions<\/h2>\n\n\n\n
\n
\n\n\n\nBPF Syntax<\/h2>\n\n\n\n
tcp && src portrange 1024-65535 && dst portrange 1024-65535<\/code><\/pre>\n\n\n\ntcpdump<\/code>.<\/p>\n\n\n\nExpress\u00e3o<\/th> Significado<\/th><\/tr><\/thead> tcp<\/code><\/td>Filtra apenas pacotes TCP<\/td><\/tr> src portrange 1024-65535<\/code><\/td>Porta de origem entre 1024 e 65535<\/td><\/tr> dst portrange 1024-65535<\/code><\/td>Porta de destino entre 1024 e 65535<\/td><\/tr> &&<\/code><\/td>Todas as condi\u00e7\u00f5es precisam ser verdadeiras<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n tcpdump -ni <interface> 'tcp && src portrange 1024-65535 && dst portrange 1024-65535'<\/code><\/pre>\n\n\n\n
\n\n\n\nACL Syntax for IPv4 com DPDK<\/h2>\n\n\n\n
0.0.0.0\/0 0.0.0.0\/0 1024-65535 1024-65535 6-6 0\/0x0 0\/0x0 0-65535<\/code><\/pre>\n\n\n\nCampo<\/th> Valor<\/th> Significado<\/th><\/tr><\/thead> Rede de origem<\/td> 0.0.0.0\/0<\/code><\/td>Qualquer origem IPv4<\/td><\/tr> Rede de destino<\/td> 0.0.0.0\/0<\/code><\/td>Qualquer destino IPv4<\/td><\/tr> Porta de origem<\/td> 1024-65535<\/code><\/td>Portas altas de origem<\/td><\/tr> Porta de destino<\/td> 1024-65535<\/code><\/td>Portas altas de destino<\/td><\/tr> Protocolo<\/td> 6-6<\/code><\/td>Apenas TCP<\/td><\/tr> Flags\/mask<\/td> 0\/0x0<\/code><\/td>Sem filtro espec\u00edfico por flags<\/td><\/tr> Flags\/mask<\/td> 0\/0x0<\/code><\/td>Sem m\u00e1scara espec\u00edfica<\/td><\/tr> TCP flags range<\/td> 0-65535<\/code><\/td>Sem restri\u00e7\u00e3o adicional por flags TCP<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n \n
\n\n\n\nACL Syntax for IPv6 com DPDK<\/h2>\n\n\n\n
::\/0 ::\/0 1024-65535 1024-65535 6-6 0\/0x0 0\/0x0 0-65535<\/code><\/pre>\n\n\n\nCampo<\/th> Valor<\/th> Significado<\/th><\/tr><\/thead> Rede de origem<\/td> ::\/0<\/code><\/td>Qualquer origem IPv6<\/td><\/tr> Rede de destino<\/td> ::\/0<\/code><\/td>Qualquer destino IPv6<\/td><\/tr> Porta de origem<\/td> 1024-65535<\/code><\/td>Portas altas de origem<\/td><\/tr> Porta de destino<\/td> 1024-65535<\/code><\/td>Portas altas de destino<\/td><\/tr> Protocolo<\/td> 6-6<\/code><\/td>Apenas TCP<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\nNetfilter Expression<\/h2>\n\n\n\n
-p tcp -m tcp --sport 1024:65535 --dport 1024:65535<\/code><\/pre>\n\n\n\nExpress\u00e3o<\/th> Significado<\/th><\/tr><\/thead> -p tcp<\/code><\/td>Filtra apenas protocolo TCP<\/td><\/tr> -m tcp<\/code><\/td>Usa o m\u00f3dulo TCP do iptables<\/td><\/tr> --sport 1024:65535<\/code><\/td>Porta de origem entre 1024 e 65535<\/td><\/tr> --dport 1024:65535<\/code><\/td>Porta de destino entre 1024 e 65535<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n multiport<\/code>.<\/p>\n\n\n\nmultiport<\/code>, \u00e9 necess\u00e1rio tomar cuidado para n\u00e3o aplicar uma l\u00f3gica diferente da desejada. O decoder precisa casar tr\u00e1fego onde as duas condi\u00e7\u00f5es<\/strong> sejam verdadeiras ao mesmo tempo:<\/p>\n\n\n\nporta de origem alta\nE\nporta de destino alta<\/code><\/pre>\n\n\n\n
\n\n\n\nIncluded Decoders<\/h2>\n\n\n\n
IP, TCP<\/code><\/pre>\n\n\n\nIP<\/code> e TCP<\/code> como decoders inclu\u00eddos.<\/p>\n\n\n\n
\n\n\n\nConflicting Decoders<\/h2>\n\n\n\n
IP, TCP<\/code><\/pre>\n\n\n\nConflicting Decoders<\/code> ajuda a evitar interpreta\u00e7\u00e3o incorreta em gr\u00e1ficos empilhados e classifica\u00e7\u00f5es simult\u00e2neas. Na pr\u00e1tica, isso evita que o mesmo tr\u00e1fego seja interpretado de forma duplicada ou confusa em determinadas visualiza\u00e7\u00f5es.<\/p>\n\n\n\n
\n\n\n\nFilter Engine<\/h2>\n\n\n\n
Generic IPv4\/IPv6<\/code><\/pre>\n\n\n\nGeneric IPv4\/IPv6<\/code> \u00e9 adequada porque o decoder foi definido tanto para IPv4 quanto para IPv6.<\/p>\n\n\n\n