O que é um ataque DDoS?
Um ataque DDoS (Distributed Denial of Service) é uma tentativa maliciosa de interromper o tráfego normal de um servidor, serviço ou rede sobrecarregando o alvo com um volume massivo de tráfego vindo de múltiplas fontes distribuídas — geralmente uma botnet de dispositivos comprometidos.
Diferente do DoS simples (uma fonte), o DDoS usa centenas a milhões de dispositivos simultâneos, tornando o bloqueio por IP ineficaz. Botnets como Mirai, Meris e KV-Botnet já geraram ataques de 1+ Tbps.
Tipos de ataques DDoS
1. Ataques Volumétricos (Camada 3/4)
Saturação da largura de banda do alvo com tráfego massivo. São os mais comuns e os maiores em volume:
- UDP Flood: Envio massivo de pacotes UDP para portas aleatórias. O servidor responde com ICMP "destination unreachable" até esgotar recursos.
- Amplificação DNS: Explora servidores DNS abertos para amplificar tráfego em até 70x. Uma consulta de 60 bytes gera resposta de 4.000 bytes.
- Amplificação NTP: Usa servidores NTP mal configurados. Fator de amplificação de até 556x.
- ICMP Flood (Smurf): Pacotes ICMP Echo Request com IP de origem falsificado para o alvo.
2. Ataques de Protocolo (Camada 3/4)
- SYN Flood: Explora o handshake TCP de três vias. O atacante envia SYN com IP falso, o servidor responde SYN-ACK e aguarda ACK que nunca chega, esgotando a tabela de conexões.
- ACK Flood: Inundação de pacotes ACK fora de contexto que o servidor precisa processar.
- Fragmentation Attack: Pacotes IP fragmentados que o servidor precisa remontar, consumindo memória e CPU.
3. Ataques de Aplicação (Camada 7)
Os mais difíceis de detectar porque imitam tráfego legítimo:
- HTTP Flood: Milhões de requisições GET/POST legítimas para exaurir o servidor web.
- Slowloris: Mantém conexões HTTP abertas o mais longo possível enviando cabeçalhos incompletos.
- RUDY (R-U-Dead-Yet?): POST requests com corpo enviado em ritmo extremamente lento.
Estratégias de mitigação
1. CDN + DDoS Protection (Cloudflare, AWS Shield)
A forma mais eficaz para a maioria das empresas. Serviços como Cloudflare absorvem ataques volumétricos na borda da rede (anycast), antes que cheguem à sua infraestrutura. A capacidade de rede da Cloudflare é de 280+ Tbps — maior que qualquer ataque registrado.
| Serviço | Capacidade | Custo/mês | Ideal para |
|---|---|---|---|
| Cloudflare Free | Sem limite (básico) | Grátis | Sites pequenos |
| Cloudflare Pro | Sem limite | USD 25 | PMEs |
| AWS Shield Standard | Automático | Grátis na AWS | Infraestrutura AWS |
| AWS Shield Advanced | Ilimitado + suporte | USD 3.000+ | Enterprise |
2. Rate Limiting e Firewall de Aplicação (WAF)
Limitar requisições por IP, ASN ou fingerprint de usuário. Um WAF bem configurado bloqueia ataques de Camada 7 antes de sobrecarregar o servidor de aplicação.
3. Anycast Network Diffusion
Distribuir tráfego por múltiplos PoPs (Points of Presence) globais para absorver ataques volumétricos regionalmente.
4. Null Route / Blackhole Routing
Em casos extremos, o IP sob ataque é descartado pelo upstream ISP. Solução temporária que resulta em indisponibilidade planejada para proteger o resto da infraestrutura.
5. Monitoramento e detecção precoce
Um spike repentino de 300% no volume de pacotes SYN é sinal de SYN Flood iminente. Ferramentas como NetFlow, sFlow e sistemas como o SpaceShield AI detectam anomalias em tempo real.
Checklist de proteção DDoS para empresas
- ✅ Usar CDN com proteção DDoS (Cloudflare, AWS CloudFront + Shield)
- ✅ Configurar rate limiting no nginx/Apache e no WAF
- ✅ Habilitar SYN cookies no kernel Linux:
net.ipv4.tcp_syncookies=1 - ✅ Limitar conexões por IP no firewall
- ✅ Monitorar volume de tráfego em tempo real com alertas
- ✅ Plano de resposta a incidentes DDoS documentado e testado
- ✅ Contrato com upstream ISP para null route de emergência
- ✅ Arquitetura multi-region para failover automático