Principais conclusões
- Nenhum dispositivo isolado pode derrubar um servidor moderno. Os atacantes infectam milhares de dispositivos IoT e computadores para criar “botnets” que disparam tráfego maciço e coordenado para um único IP.
- Tentar bloquear milhares de IPs no nível do servidor usando firewalls ou Fail2Ban geralmente trava sua CPU antes mesmo que o ataque pare.
- Ao utilizar o nosso add-on Cloudflare Enterprise, transfere a luta para uma rede global. Isto elimina o tráfego malicioso antes que ele chegue ao teu servidor, mantendo o teu site rápido e online.
Um grande pico de tráfego num painel de controlo parece inicialmente uma vitória de marketing. Depois, os tempos de carregamento da página diminuem. A base de dados fica completamente offline. Essa falha repentina traz-te uma dura realidade. O site não está a tornar-se viral. Está a enfrentar um ataque distribuído de negação de serviço.
A reação imediata é quase sempre entrar em pânico e bloquear endereços IP aleatórios. Essa abordagem manual falha porque ignora a mecânica real da ameaça. Os atacantes visam camadas de rede específicas para quebrar diferentes recursos do servidor.
Uma inundação volumétrica maciça requer uma estratégia de defesa completamente diferente de um ataque silencioso à camada de aplicação disfarçado de tráfego normal da Web.
Neste guia, analisaremos a mecânica dos ataques das camadas 3, 4 e 7. Exploraremos como eles funcionam e compararemos as técnicas tradicionais de atenuação manual com a proteção automatizada de borda.
- O que é um ataque DDoS?
- Como funcionam os ataques DDoS?
- Os 3 principais tipos de ataques DDoS
- 1. Ataques volumétricos (Camada 3 e Camada 4)
- 2. Ataques a protocolos (Camada 3 e Camada 4)
- 3. Ataques à camada de aplicação (camada 7)
- Técnicas tradicionais de mitigação de DDoS (a abordagem manual)
- Proteção automatizada anti-DDoS com Cloudways Cloudflare Enterprise
- Mitigação manual vs. Proteção contra DDoS da Cloudflare Enterprise da Cloudways
O que é um ataque DDoS?
Os ataques DDoS funcionam afogando o teu servidor em tráfego inútil. Os atacantes enviam grandes ondas de pedidos falsos para o teu site. O teu servidor tenta responder a todos eles e acaba por não conseguir acompanhar o ritmo. Os visitantes reais ficam bloqueados porque a tua infraestrutura está demasiado ocupada a lidar com o ataque.
Um ataque tradicional usa um único computador para gerar tráfego. Um administrador de rede pode bloquear essa fonte solitária em segundos. Um ataque distribuído de negação de serviço aumenta o problema exponencialmente.
A inundação de dados inúteis tem agora origem numa rede maciça de dispositivos comprometidos. Estas máquinas sequestradas encontram-se em diferentes países e funcionam em diferentes redes.
Uma regra básica de firewall falha completamente neste cenário. Bloquear um endereço IP incorreto não faz nada quando a ameaça chega de milhares de fontes únicas em simultâneo.
Proteção DDoS para empresas sem custos elevados
Bloqueia os ataques antes que eles atinjam seu servidor de origem. O Cloudways Cloudflare Enterprise implementa um WAF inteligente e mitigação automatizada para manter seu site rápido e on-line.
Como funcionam os ataques DDoS?
Um computador não consegue deitar abaixo um servidor moderno. Os atacantes precisam de milhares de dispositivos a funcionar ao mesmo tempo para causar danos reais. Conseguem-no infectando com malware coisas normais como routers domésticos, computadores de escritório e dispositivos inteligentes. Cada máquina infetada torna-se um bot. O grupo inteiro é chamado de botnet.
Quando a botnet está pronta, o atacante envia um comando para todos os dispositivos de uma só vez. Todos os bots começam a inundar o alvo com pedidos.
O objetivo é enterrar o teu servidor sob tráfego falso para que não consiga lidar com pessoas reais que o tentam visitar. Cada bot usa um dispositivo real com um endereço IP legítimo, o que torna difícil para as firewalls básicas detetar a diferença. O teu servidor atinge o limite de memória ou largura de banda. Entra em colapso ou pára, bloqueando todos os outros.
Os 3 principais tipos de ataques DDoS
Todos os ataques DDoS têm como objetivo colocar o teu site offline, mas utilizam métodos diferentes para o conseguir. As equipas de segurança dividem-nos em três categorias com base na parte da tua infraestrutura que pretendem atingir.
Para compreender estas categorias, primeiro tens de compreender o modelo OSI (Open Systems Interconnection). O modelo OSI é uma estrutura concetual que os engenheiros de rede utilizam para descrever o funcionamento de uma rede. Divide um sistema de rede em sete camadas distintas:
- Camada física
- Camada de ligação de dados
- Camada de rede (Camada 3)
- Camada de transporte (Camada 4)
- Camada de sessão
- Camada de apresentação
- Camada de aplicação (Camada 7)
Estas categorias são importantes porque cada uma delas visa um recurso diferente. Um ataque tenta maximizar a tua largura de banda. Outro vai atrás do software que executa o teu site.
Os três tipos principais são:
- Ataques volumétricos: Estes ataques inundam a tua ligação com grandes quantidades de tráfego. O objetivo é consumir toda a tua largura de banda para que nada legítimo possa passar.
- Ataques de protocolo: Explora a forma como os dispositivos de rede falam uns com os outros. Visa os recursos do servidor ou hardware, como firewalls e balanceadores de carga, até que esses sistemas se percam.
- Ataques à camada de aplicação: Estes são os mais complicados. Parecem-se com a atividade normal do utilizador, mas visam partes específicas do seu site, como barras de pesquisa ou formulários de início de sessão, para bloquear a aplicação.
1. Ataques volumétricos (Camada 3 e Camada 4)
Os ataques volumétricos são os DDoS mais comuns que verás. A ideia é básica: enviar grandes quantidades de tráfego até que a tua largura de banda fique completamente obstruída. A tua ligação enche-se de lixo e o tráfego real não consegue passar.
O tamanho do ataque é medido em bits por segundo (bps). Os atacantes aumentam o seu impacto utilizando métodos de amplificação que transformam pequenos pedidos em gigantescas inundações de dados.
Inundação UDP
Uma inundação UDP martela as portas do teu servidor com pacotes UDP. O teu servidor procura algo a escutar nessas portas, não encontra nada e dispara uma mensagem “ICMP Destination Unreachable”. Lidar com todos esses pacotes gasta rapidamente os recursos do teu servidor. Eventualmente, ele desiste.
Inundação de ICMP
As pessoas chamam isso de “ping flood”. Ele despeja pacotes ICMP Echo Request no seu servidor sem parar. O teu servidor responde a cada um deles com um ICMP Echo Reply. Tanto a tua largura de banda de entrada como a de saída sofrem um golpe. O teu servidor fica enterrado e deixa de responder a tudo o resto.
Amplificação do DNS
A amplificação do DNS torna o tráfego de ataque muito maior. Os atacantes enviam pequenos pedidos a servidores DNS públicos usando o teu IP como remetente. Pedem respostas enormes, como descargas de registos DNS completos. O servidor DNS envia todos esses dados para ti em vez de para o atacante. O pequeno tráfego transforma-se numa inundação que afoga a tua rede.
2. Ataques a protocolos (Camada 3 e Camada 4)
Os ataques de protocolo não se concentram em inundar a tua largura de banda. Vão atrás de tabelas de estado de ligação nos teus servidores e hardware como firewalls ou equilibradores de carga.
Estes ataques exploram a forma como os protocolos de rede funcionam para consumir o poder de processamento da tua infraestrutura.
São medidos em pacotes por segundo (pps). O objetivo é utilizar todas as ligações disponíveis para que os utilizadores reais fiquem bloqueados.
Inundação SYN
Uma inundação SYN quebra o aperto de mão TCP normal. Um cliente envia SYN, o teu servidor responde com SYN-ACK, depois o cliente envia ACK para completar a ligação. Os atacantes inundam o teu servidor com pacotes SYN mas nunca enviam o ACK final de volta. O teu servidor mantém estas ligações incompletas abertas à espera de algo que não chega. As tuas portas disponíveis são usadas e as ligações legítimas não conseguem passar.
Ping da Morte
O Ping of Death é um ataque mais antigo que, por vezes, ainda funciona. Os atacantes enviam pacotes de rede maiores do que o permitido pelo protocolo IP. Quando o teu servidor tenta juntar estes fragmentos de tamanho excessivo, atinge um buffer overflow. O teu sistema congela ou bloqueia.
Ataques Smurf e Teardrop
Os ataques Smurf e Teardrop alteram a forma como o teu servidor lida com os dados dos pacotes.
Os ataques Smurf usam um endereço IP falso para enviar pacotes ICMP para o endereço de difusão de uma rede. Todos os dispositivos dessa rede enviam uma resposta ao teu IP. Ficas enterrado no tráfego.
Os ataques Teardrop enviam pacotes IP cortados em pedaços com offsets sobrepostos. O teu servidor tenta remontar as peças, mas os dados quebrados fazem com que o teu sistema operativo se desfaça.
3. Ataques à camada de aplicação (camada 7)
Os ataques à camada de aplicação são mais difíceis de detetar e bloquear. As inundações volumétricas tentam encher a tua ligação de tráfego. Estes ataques vão atrás do software real em execução no teu servidor. Imitam o comportamento normal do utilizador, o que lhes permite passar ao lado de muitas ferramentas de segurança padrão.
O objetivo é esgotar os recursos do servidor, como a CPU e a memória, obrigando a tua aplicação a trabalhar horas extraordinárias. Estes são medidos em pedidos por segundo (rps).
Inundação HTTP
Uma inundação HTTP funciona como milhares de pessoas a atualizar a mesma página ao mesmo tempo a partir de diferentes dispositivos. Os atacantes disparam toneladas de pedidos HTTP GET ou POST para o teu servidor. O teu servidor tem de processar cada um deles e carregar todos os ficheiros. Isto gasta rapidamente o poder de processamento. Os pedidos parecem vir de browsers reais, pelo que a captura da botnet requer uma análise mais avançada.
Slowloris
O Slowloris é eficiente porque quase não usa largura de banda. Abre um monte de ligações ao seu servidor web e mantém-nas abertas. Os atacantes enviam pedidos HTTP incompletos que nunca terminam. O teu servidor continua à espera do resto dos dados com estas ligações abertas. Eventualmente, atinge o limite máximo de ligações e não pode aceitar mais ninguém.
Ataques de baixo e lento
Os ataques “low-and-slow” são o tipo mais silencioso de DDoS. Em vez de um grande pico de tráfego, os atacantes enviam um fluxo constante de pedidos lentos. Isto passa despercebido à maioria dos sistemas de deteção que procuram saltos súbitos. As ligações permanecem abertas durante muito tempo, ocupando lentamente os segmentos do servidor até a aplicação deixar de poder responder aos visitantes reais.
Se o teu site for construído em WordPress, os ataques da Camada 7 visam frequentemente vulnerabilidades específicas do CMS, como o ficheiro XML-RPC. Para uma mitigação específica do CMS, consulta o nosso guia sobre a prevenção de ataques DDoS do WordPress.
Técnicas tradicionais de mitigação de DDoS (a abordagem manual)
Muitos administradores tentam parar os ataques ao nível do servidor quando notam um pico de tráfego. Esta abordagem manual pode lidar com problemas pequenos e locais. No entanto, durante um DDoS real, estás a lutar contra um enxame automatizado com ferramentas básicas. Não funciona.
Firewalls de nível de servidor e Fail2Ban
Ferramentas como o iptables ou o Fail2Ban observam os registos do servidor e bloqueiam os maus endereços IP. Isto funciona bem se o ataque vier de um punhado de fontes. Num ataque distribuído, o teu servidor lida com milhares de IPs diferentes ao mesmo tempo. A tua CPU gasta mais recursos a verificar as regras da firewall do que a executar o teu site. O servidor falha porque defender-se consome muita energia.
Roteamento nulo (Blackholing)
O roteamento nulo é a opção nuclear. Quando um ataque se torna suficientemente grande para ameaçar todo o centro de dados, o teu fornecedor de alojamento despeja todo o tráfego para o teu endereço IP num buraco negro. O ataque deixa de atingir a rede, mas o teu site também fica completamente às escuras. Basicamente, acabaste o que o atacante começou, cortando o acesso a toda a gente.
Alterna manualmente o Cloudflare (Limitação de taxa e Modo de ataque)
Os utilizadores normais da Cloudflare reagem normalmente de forma manual durante os ataques. Detectam um pico no painel de controlo e activamo “Modo de ataque” ou criam regras de limitação de taxas no local.
O problema é o timing.
Quando recebes o alerta, inicias sessão e carregas no botão, a tua base de dados pode já estar estragada. As respostas manuais são reactivas. Os danos acontecem antes de poderes fazer alguma coisa.
Proteção automatizada anti-DDoS com Cloudways Cloudflare Enterprise
Lutar contra um ataque DDoS ao nível do servidor é como tentar parar uma inundação com um único balde. Quando vês o pico de tráfego no teu painel de controlo, é provável que o teu CPU já tenha atingido o limite máximo.
Integrámos o Cloudflare Enterprise na nossa plataforma especificamente para afastar toda esta batalha do teu servidor de origem. Em vez de serem os teus recursos de alojamento a serem atingidos, a nossa rede global de ponta absorve o impacto antes que um único pacote malicioso chegue ao teu site.
Temos um guia detalhado que te orienta nas etapas completas de ativação do complemento Cloudflare Enterprise no Cloudways.
Proteção de extremidade L3 e L4 não medida
Quando uma inundação volumétrica maciça ou um ataque SYN atinge o teu IP, a nossa proteção de ponta pára-o instantaneamente. Uma vez que esta proteção não é medida, nunca terás de te preocupar com cobranças surpresa de excesso só porque um atacante te visou.
Nós tratamos da mitigação no perímetro da rede. Isto mantém a RAM e a CPU do teu servidor completamente livres para servir os clientes reais. Não tens de monitorizar os registos ou escrever regras de firewall; a nossa infraestrutura identifica e elimina o tráfego indesejado em segundos.
Mitigação inteligente da camada 7 (WAF e gestão de bots)
Os ataques da camada 7 são perigosos porque imitam o comportamento humano real. Um bot pode tentar bloquear o teu site enviando spam para uma barra de pesquisa ou para uma página de checkout. Os nossos sistemas WAF e de gestão de bots de nível empresarial utilizam a análise comportamental para detetar estes padrões.
Ao contrário do modo manual “Under Attack Mode”, o nosso sistema está sempre ligado e é proactivo. Distingue entre um cliente legítimo e um bot malicioso sem que tenhas de mexer um dedo. Isto garante que a tua aplicação se mantém rápida e acessível, mesmo quando está sob um ataque sofisticado.
Mitigação de DDoS de nível empresarial a partir de $4,99/Domínio
Bloqueia o tráfego malicioso antes que ele chegue ao seu servidor. O Cloudways Cloudflare Enterprise inclui um WAF avançado, proteção contra bots e mitigação automatizada de ameaças em um plano flexível por domínio.
Mitigação manual vs. Proteção contra DDoS do Cloudflare Enterprise da Cloudways
| Funcionalidade | Defesa manual ao nível do servidor | Cloudways Cloudflare Enterprise |
|---|---|---|
| Tempo de reação | Reativo: Tens de ver o alerta e iniciar sessão para agir. | Proactivo: Os ataques são bloqueados no limite em segundos. |
| Carga do servidor | Alta: A tua CPU desperdiça recursos a filtrar o tráfego malicioso. | Zero: O tráfego malicioso nunca chega ao teu servidor de origem. |
| Previsibilidade dos custos | Variável: Inundações maciças podem levar a excessos de largura de banda. | Fixa: A proteção não medida está incluída no suplemento. |
| Ataques complexos | Fraco: É difícil distinguir manualmente os bots dos humanos. | Avançado: Usa IA e WAF para identificar o comportamento do bot. |
| Disponibilidade do site | Alto risco: O roteamento nulo (blackholing) destrói seu site. | Garantida: Apenas o tráfego ruim é descartado; seu site permanece ativo. |
Terminar!
Compreender os diferentes tipos de ataques DDoS é o primeiro passo para manter o teu site online. Quer se trate de uma inundação maciça da Camada 3 ou de um ataque silencioso de bots da Camada 7, o objetivo é sempre encontrar um ponto de estrangulamento na sua infraestrutura e quebrá-lo.
Confiar em correcções manuais ao nível do servidor é um risco enorme. Quando reparares no pico de tráfego, é provável que o teu servidor já esteja a ter dificuldades em manter a capacidade de resposta.
Na Cloudways, nosso complemento Cloudflare Enterprise lida com essas ameaças na borda da rede. Isso significa que o tráfego malicioso é descartado antes mesmo de chegar ao seu servidor, mantendo seu site rápido e acessível, independentemente do volume de ataques.
Q. Um ataque DDoS é ilegal?
A. Sim. Executar um ataque DDoS ou contratar alguém para o fazer é um crime federal na maioria dos locais. O Computer Fraud and Abuse Act (Lei de Fraude e Abuso de Computadores) nos EUA significa que estás sujeito a multas e tempo de prisão, independentemente de quem estás a atacar.
Q. Uma firewall pode impedir um ataque DDoS?
A. Não é bem assim. A tua firewall de servidor típica pode bloquear alguns IPs, mas um ataque distribuído inunda o teu servidor de tal forma que apenas a verificação dessas regras de bloqueio consome todo o teu CPU. O tráfego precisa ser interrompido na borda antes de chegar ao teu servidor.
Q. Quanto tempo duram os ataques DDoS?
A. Normalmente, em menos de uma hora. Alguns duram dias. Um ataque de cinco minutos pode ainda assim derrubar o teu servidor e deixar-te a reparar bases de dados ou a reiniciar tudo manualmente. O tempo de inatividade acontece de qualquer forma.
Q. Quem está em risco de sofrer um ataque DDoS?
A. Qualquer pessoa com um IP público. As grandes empresas são muito atacadas, mas muitos dos ataques são apenas bots à procura de alvos fáceis. Os pequenos sites são atacados porque são fáceis de pôr offline quando alguém está a testar uma nova botnet.
Abdul Rehman
O Abdul é um profissional de marketing experiente em tecnologia, movido a café e criativo, que adora manter-se a par das últimas actualizações de software e gadgets tecnológicos. É também um escritor técnico competente que consegue explicar conceitos complexos de forma simples para um público alargado. Abdul gosta de partilhar os seus conhecimentos sobre a indústria da nuvem através de manuais de utilizador, documentação e publicações em blogues.
