DDoS Protection: protegendo sistemas contra ataques de negação de serviço

O que é um ataque DDoS e como funciona

Entendendo a mecânica dos ataques de negação de serviço distribuídos

Um ataque DDoS (Distributed Denial of Service) busca tornar um serviço indisponível sobrecarregando-o com volume de tráfego ou requisições além de sua capacidade de processamento, usando milhares ou milhões de dispositivos comprometidos (bots) como fonte. Diferentemente de um DoS simples que vem de um único host, a natureza distribuída do DDoS torna a mitigação por bloqueio de IP ineficaz — banir um IP apenas redireciona uma fração mínima do ataque. Botnets modernas como Mirai exploram dispositivos IoT com credenciais padrão, criando redes de milhões de bots capazes de gerar centenas de Gbps de tráfego malicioso. A motivação de ataques DDoS varia desde extorsão financeira e vandalismo até desestabilização política e sabotagem comercial competitiva.

Tipos de DDoS — volumétrico, protocolo, camada de aplicação

Classificando ataques para escolher a estratégia de mitigação correta

Ataques volumétricos (L3/L4) tentam saturar a largura de banda da rede com UDP floods, ICMP floods ou amplificação DNS/NTP, onde um pequeno pacote spoofed gera uma resposta muito maior enviada para a vítima. Ataques de protocolo exploram vulnerabilidades em protocolos de rede como TCP SYN floods que esgotam a tabela de conexões half-open do servidor, ou Ping of Death que envia pacotes fragmentados malformados. Ataques de camada de aplicação (L7) são os mais sofisticados, gerando tráfego HTTP aparentemente legítimo que sobrecarrega a aplicação — como HTTP floods em endpoints pesados, ataques slowloris que mantêm conexões abertas com envio lento, ou exploitation de endpoints caros de banco de dados. Ataques L7 são mais difíceis de mitigar pois o tráfego malicioso é indistinguível do legítimo em nível de protocolo.

Rate limiting como primeira linha de defesa

Limitando requisições por IP para absorver picos antes de atingir o backend

Rate limiting implementado no load balancer ou WAF é a primeira camada de defesa contra ataques L7, limitando o número de requisições que um único IP pode fazer em um intervalo de tempo e retornando 429 para o excesso. Limites diferentes por endpoint são essenciais — endpoints de autenticação devem ter limites muito mais restritivos (ex: 5 tentativas por minuto) que endpoints de leitura pública. Rate limiting por IP é facilmente contornado por botnets com muitos IPs diferentes, razão pela qual deve ser combinado com outras técnicas como challenge pages e análise comportamental. O desafio é calibrar limites que bloqueiem bots sem impactar usuários legítimos com picos naturais de uso, o que exige análise de tráfego histórico antes de definir thresholds.

IP blocking e geo-blocking

Bloqueando fontes de ataque por endereço e localização geográfica

IP blocking é a técnica mais simples de mitigação — identificar ranges de IP maliciosos e bloquear no firewall ou CDN — mas tem eficácia limitada contra botnets grandes que rotacionam IPs constantemente. Listas de IPs maliciosos conhecidos de serviços como AbuseIPDB, Spamhaus e feeds de threat intelligence comerciais permitem bloquear proativamente fontes conhecidas de ataques antes que ataquem. Geo-blocking restringe acesso de países específicos que não são mercados-alvo da aplicação, podendo eliminar grandes parcelas de tráfego de ataque — porém com risco de bloquear usuários legítimos que usam VPNs ou IPs de países bloqueados. A combinação de IP blocking, geo-blocking e ASN blocking (bloqueando redes de provedores de cloud usados como base de ataque) forma uma defesa em camadas mais robusta.

Anycast e absorção de tráfego na borda

Distribuindo o ataque por toda a rede para evitar saturação de qualquer ponto

CDNs com roteamento Anycast como Cloudflare e Akamai são a defesa mais eficaz contra ataques volumétricos, pois distribuem o tráfego de ataque entre centenas de PoPs ao redor do mundo em vez de concentrá-lo no servidor de origem. Com mais de 100 Tbps de capacidade de rede agregada, o Cloudflare pode absorver mesmo os maiores ataques volumétricos registrados sem que o servidor de origem sequer veja o tráfego malicioso. O scrubbing center é uma variante onde o tráfego de ataque é desviado via BGP para data centers especializados em filtragem antes de ser encaminhado limpo para a origem — técnica usada por provedores de mitigação DDoS dedicados como Radware e Imperva. A distância geográfica entre as fontes do ataque e os PoPs mais próximos garante que cada PoP absorve apenas uma fração do volume total.

CAPTCHAs e challenge pages

Verificando se o tráfego é humano sem bloquear usuários legítimos

Challenge pages apresentam um desafio computacional ou CAPTCHA para tráfego suspeito, validando que existe um navegador real e um humano antes de permitir acesso à aplicação — técnica essencial contra HTTP floods de bots simples. O Cloudflare Turnstile e reCAPTCHA v3 operam de forma invisível, analisando comportamento do navegador e do usuário para calcular um score de humanidade sem apresentar quebra-cabeças visuais que degradam a experiência. JavaScript challenges verificam se o cliente suporta execução de JavaScript — a maioria dos bots de ataque simples não consegue executar JS corretamente — filtrando uma grande parcela de tráfego automatizado. A desvantagem de challenges é impactar a experiência de usuários legítimos em dispositivos lentos ou com JavaScript desabilitado, exigindo calibração cuidadosa de quando aplicar.

WAF para ataques L7

Inspecionando conteúdo de requisições para bloquear padrões de ataque sofisticados

O WAF é a ferramenta principal para mitigação de ataques L7 sofisticados que imitam tráfego legítimo, usando regras que identificam padrões de payload, headers anômalos e comportamentos característicos de ferramentas de ataque. Regras customizadas permitem bloquear User-Agents conhecidos de ferramentas de stress testing como LOIC e HOIC, além de fingerprints de frameworks de botnet identificados em ataques anteriores. O modo de aprendizado (learning mode) do WAF analisa tráfego legítimo por um período antes de entrar em modo de bloqueio, construindo um modelo baseline do tráfego normal que serve de referência para detecção de anomalias. A combinação de WAF managed rules (atualizados pelo provedor) com regras customizadas específicas da aplicação fornece cobertura tanto para ataques genéricos quanto para vetores específicos da plataforma.

Infraestrutura resiliente a ataques

Arquitetando o sistema para sobreviver a ataques sem single points of failure

Separar a camada de CDN/WAF da origem com Cloudflare Tunnel ou IP de origem não publicado impede que atacantes ignorem as proteções da CDN e ataquem diretamente o servidor. Horizontally scaling a origem com auto scaling groups garante que picos de tráfego — mesmo parcialmente malicioso que passa pela CDN — não derrubam o serviço se a CDN deixar escapar requisições. Endpoints de saúde (/health) devem ser protegidos de rate limiting para não bloquear o próprio load balancer, enquanto endpoints de alto custo computacional devem ter cache agressivo ou rate limiting muito restritivo. Runbooks de resposta a incidentes DDoS devem estar documentados e testados antes do ataque acontecer, especificando quem acionar, quais switches de emergência ativar e critérios para geo-blocking de emergência.

Detectando ataques — métricas e alertas

Identificando ataques em andamento antes que causem degradação total

Alertas de spike súbito em request rate, error rate (especialmente 5xx) e latência P99 são os primeiros sinais de um ataque DDoS em andamento e devem ter alertas configurados em ferramentas como Datadog, Grafana ou CloudWatch. O ratio de tráfego bloqueado pelo WAF versus tráfego total é uma métrica valiosa — um aumento súbito indica que o WAF está trabalhando, mas pode indicar um ataque que requer ação manual se o volume for muito alto. Análise de top IPs por volume, distribuição geográfica do tráfego e User-Agents mais comuns nos logs da CDN ajudam a caracterizar o ataque e identificar bloqueios específicos que seriam eficazes. Ferramentas de APM com correlação de traces permitem identificar quais endpoints estão sendo atacados especificamente, guiando rate limiting e WAF rules mais cirúrgicos.

Conclusão — defesa em camadas como única estratégia eficaz

Nenhuma técnica isolada é suficiente para mitigar DDoS moderno

Proteção eficaz contra DDoS requer múltiplas camadas combinadas: Anycast CDN para volumétrico, WAF e challenge pages para L7, rate limiting granular por endpoint e infraestrutura resiliente que aguenta o volume que inevitavelmente escapa pelas defesas. A preparação antes do ataque — documentando runbooks, testando mecanismos de mitigação e configurando alertas corretos — determina se o incidente será resolvido em minutos ou em horas de indisponibilidade. Continue em: Fundamentos obrigatórios antes de produção.