Para detetar um ataque, utilizamos o netflow que é enviado pelos routers e analisado pelas nossas soluções de deteção. Cada router transmite um resumo de 1/2000 do tráfego que o atravessa regularmente. A nossa solução analisa esse resumo e comparam-a com as assinaturas dos ataques. Se a comparação é positiva, a mitigação entra em ação em alguns segundos.

As “assinaturas” analisadas baseiam-se no número de “pacotes por segundo” (pps, Kpps, Mpps, Gpps) ou “bytes por segundo” (bps, Kbps, Mbps, Gbps) nalguns tipos de pacotes como:

• DNS

• ICMP

• IP Fragment

• IP NULL

• IP Private

• TCP NULL

• TCP RST

• TCP SYN

• TCP ACK

• UDP …

Conforme o tipo de ataque e o seu tamanho, a implementação da mitigação pode levar entre 5 e 120 segundos.