O Que É um Ataque DDoS e Como Se Proteger

O que é um ataque DDoS?

Um ataque DDoS (Distributed Denial of Service) é uma tentativa de tornar um site ou serviço online indisponível, inundando-o com uma quantidade enorme de tráfego falso. Imagine milhares de pessoas a tentar entrar ao mesmo tempo numa loja pequena - os clientes verdadeiros não conseguem entrar porque a porta está bloqueada. Da mesma forma, um ataque DDoS sobrecarrega o seu servidor com pedidos, de modo que os visitantes legítimos não conseguem aceder ao seu site.

A palavra "Distributed" (distribuído) é fundamental - o ataque não vem de uma única fonte, mas de milhares ou milhões de dispositivos comprometidos (uma botnet) por todo o mundo. Isto torna o bloqueio mais difícil, já que não se pode simplesmente bloquear um único IP.

Tipos de ataques DDoS

Ataques volumétricos (Camada 3/4)

Estes ataques tentam inundar o seu servidor ou a infraestrutura de rede com volumes de dados massivos. O objetivo é consumir toda a largura de banda disponível para que o tráfego legítimo não consiga passar.

• UDP Flood: Envia volumes enormes de pacotes UDP para portas aleatórias do servidor. O servidor consome recursos a tentar processar cada pacote.
• ICMP Flood (Ping Flood): Inunda o servidor com pacotes ICMP echo request. Simples, mas eficaz para sites mais pequenos.
• DNS Amplification: Utiliza servidores DNS abertos para amplificar o ataque - um pedido pequeno gera uma resposta grande enviada para a vítima.

Ataques de protocolo (Camada 3/4)

Estes ataques exploram fraquezas nos protocolos de rede para esgotar os recursos do servidor ou de equipamentos de rede como firewalls e balanceadores de carga.

• SYN Flood: Envia um volume massivo de pedidos TCP SYN sem concluir o handshake. O servidor mantém ligações semiabertas que consomem memória.
• Ping of Death: Envia pacotes malformados ou de tamanho excessivo que podem fazer o servidor falhar.
• Smurf Attack: Utiliza endereços de broadcast para amplificar o tráfego ICMP dirigido à vítima.

Ataques de aplicação (Camada 7)

O tipo de ataque mais sofisticado, visando aplicações web. Estes ataques imitam tráfego legítimo e são difíceis de distinguir de visitantes reais.

• HTTP Flood: Envia pedidos HTTP GET ou POST legítimos em volumes enormes. Cada pedido parece normal, mas em conjunto sobrecarregam o servidor.
• Slowloris: Abre muitas ligações ao servidor e mantém-nas abertas enviando pedidos incompletos. O servidor mantém todas as ligações ativas até esgotar os recursos.
• Ataques específicos à aplicação: Visam funções concretas do site - pesquisa, login, endpoints de API - que exigem mais recursos do servidor para processar.

Como reconhecer um ataque DDoS?

Os ataques DDoS manifestam-se através de vários sintomas que deve reconhecer o mais cedo possível:

• O site está extremamente lento: As páginas carregam muito mais lentamente do que o habitual ou não carregam de todo.
• O servidor está indisponível: Surgem erros 502 Bad Gateway, 503 Service Unavailable ou timeout.
• Pico de tráfego invulgar: As análises mostram um enorme pico de visitas que não pode ser explicado por razões normais.
• CPU/RAM elevados no servidor: Os recursos do servidor estão a 100% sem motivo óbvio.
• Pedidos de localizações invulgares: Se o seu site está em português e recebe de repente milhares de visitas da China ou do Brasil, isso é suspeito.

Proteção através da Cloudflare

A Cloudflare é o serviço de proteção contra DDoS mais conhecido e está disponível com um plano gratuito que cobre a proteção básica. Como funciona:

Como a Cloudflare protege o seu site

A Cloudflare atua como intermediário entre o seu site e os visitantes. Todo o tráfego passa pela rede da Cloudflare, com mais de 300 centros de dados em todo o mundo. O tráfego malicioso é filtrado antes de chegar ao seu servidor.

• Rede Anycast: Distribui o ataque por muitas localizações, em vez de todo o tráfego atingir um único servidor.
• WAF (Web Application Firewall): Filtra pedidos maliciosos ao nível da aplicação.
• Rate Limiting: Limita o número de pedidos de um IP dentro de uma janela de tempo.
• Bot Management: Utiliza machine learning para distinguir visitantes legítimos de bots.
• Under Attack Mode: Um modo especial que mostra uma página de desafio JavaScript antes do acesso, bloqueando a maioria dos ataques automatizados.

Configurar a Cloudflare

• Crie uma conta gratuita em cloudflare.com.
• Adicione o seu domínio e altere os nameservers no registrar para os nameservers da Cloudflare.
• Ative o estado "Proxy" (nuvem laranja) para todos os registos DNS que pretende proteger.
• Defina o modo SSL para "Full (strict)" para encriptação HTTPS.
• Configure o Security Level para "Medium" ou "High" em sites sensíveis.

Proteção ao nível do alojamento

Um fornecedor de alojamento de qualidade é a sua primeira linha de defesa contra DDoS. O que procurar:

• Firewall de rede: Uma firewall de hardware que filtra o tráfego malicioso antes de chegar ao servidor.
• Mitigação de DDoS: Deteção e bloqueio automáticos de DDoS ao nível da rede.
• Isolamento de contas: Em alojamento partilhado, o CloudLinux/CageFS garante que um ataque a uma conta não afeta as outras.
• ModSecurity/WAF: Uma Web Application Firewall ao nível do servidor que protege contra ataques de Camada 7.
• Rate limiting: Limitar o número de ligações por IP no servidor web (LiteSpeed/Apache).

Medidas de proteção adicionais

Ao nível da aplicação

• CAPTCHA nos formulários: Impede o envio automatizado de formulários. O Google reCAPTCHA ou o hCaptcha são opções gratuitas.
• Rate limiting no login: Limite o número de tentativas de login (Wordfence para WordPress, Fail2ban no servidor).
• Caching: As páginas em cache consomem muito menos recursos por pedido. Saiba mais no nosso guia de velocidade do site, o que torna o seu site mais resistente a ataques.
• Desativar o XML-RPC: Em sites WordPress, o ficheiro xmlrpc.php é um alvo de ataque comum. Desative-o se não o utilizar.

Ao nível do servidor

• Fail2ban: Bloqueia automaticamente IPs que apresentam comportamento malicioso (demasiados logins falhados, demasiados pedidos).
• Regras iptables/nftables: Defina regras básicas para bloquear tráfego obviamente malicioso.
• TCP SYN cookies: Proteção ao nível do kernel contra ataques SYN Flood.
• Limites de ligações: Limite o número máximo de ligações simultâneas por IP.

O que fazer durante um ataque DDoS?

• Não entre em pânico: A maioria dos ataques DDoS dura de alguns minutos a algumas horas. Raramente duram mais do que um dia.
• Ative o Under Attack Mode da Cloudflare: Se utilizar a Cloudflare, ative este modo de imediato.
• Contacte o seu fornecedor de alojamento: Informe-o do ataque - pode aplicar medidas adicionais ao nível da rede.
• Analise os logs: Inspecione os access logs para identificar padrões de ataque (intervalos de IP, strings de user-agent, URLs visados).
• Documente o ataque: Registe a hora de início, a duração, o tipo de ataque e as ações tomadas para referência futura.

Conclusão

Os ataques DDoS são uma realidade da internet moderna e nenhum site está totalmente imune. No entanto, com as proteções certas - Cloudflare, alojamento de qualidade, WAF e práticas básicas de segurança - pode reduzir significativamente o risco e minimizar o impacto do ataque. A prevenção é sempre mais barata do que a cura - implemente as proteções antes de precisar delas. Veja também o nosso guia completo de proteção de sites.