Bilhete aberto 
+373 79 600002 
Chat ao vivo do Telegram 
F.A.Q 
Português
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
SegurançaAtaques DDoS: Tipos, Camadas do Modelo OSI e Como Proteger Sua Infraestrutura
Os ataques de Negação de Serviço Distribuída (DDoS) continuam sendo uma das ameaças mais disruptivas e custosas enfrentadas por empresas online, aplicações web e infraestrutura de hospedagem hoje. Quer você execute um pequeno site de e-commerce ou gerencie servidores de nível empresarial, compreender como os ataques DDoS funcionam — e como eles se mapeiam para camadas específicas do modelo OSI — é a base de qualquer estratégia de defesa séria.
Neste guia abrangente, detalhamos todos os principais tipos de ataque DDoS, explicamos qual camada OSI cada um ataca, descrevemos o impacto real nos seus negócios e apresentamos estratégias de mitigação comprovadas para manter seus serviços online.
O que é um Ataque DDoS?
Um ataque de Negação de Serviço Distribuída (DDoS) é uma tentativa coordenada e maliciosa de sobrecarregar um servidor, rede ou serviço alvo com um volume enorme de tráfego ou solicitações que consomem recursos — tornando-o incapaz de responder aos usuários legítimos.
Diferentemente de um simples ataque DoS lançado de uma única máquina, os ataques DDoS aproveitam botnets: redes de milhares ou até milhões de dispositivos comprometidos (computadores, dispositivos IoT, servidores) que inundam simultaneamente o alvo. A natureza distribuída torna esses ataques muito mais difíceis de bloquear e muito mais poderosos.
O objetivo final é direto: esgotar os recursos do alvo — largura de banda, CPU, memória ou capacidade de conexão — causando tempo de inatividade, degradação de desempenho e interrupção de serviço.
O Modelo OSI: Por Que É Importante para a Defesa contra DDoS
O modelo OSI (Interconexão de Sistemas Abertos) é um framework conceitual que divide a comunicação de rede em sete camadas distintas, cada uma responsável por uma função específica. Os ataques DDoS são deliberadamente projetados para explorar vulnerabilidades em camadas específicas, razão pela qual compreender o modelo é essencial para diagnosticar e se defender contra eles.
| Camada OSI | Nome | Função |
|---|---|---|
| Camada 1 | Física | Transmissão de hardware de dados brutos |
| Camada 2 | Enlace de Dados | Transferência de dados de nó a nó |
| Camada 3 | Rede | Roteamento e endereçamento IP |
| Camada 4 | Transporte | Comunicação de ponta a ponta (TCP/UDP) |
| Camada 5 | Sessão | Gerenciamento de sessão |
| Camada 6 | Apresentação | Formatação e criptografia de dados |
| Camada 7 | Aplicação | Protocolos voltados para o usuário (HTTP, DNS, etc.) |
Os ataques DDoS visam principalmente as Camadas 3, 4 e 7, cada uma exigindo uma abordagem diferente de detecção e mitigação.
Tipos de Ataques DDoS por Camada OSI
1. Ataques Baseados em Volume — Camada 3 (Camada de Rede)
Os ataques baseados em volume são os mais diretos e frequentemente os maiores em termos de volume de tráfego bruto. Seu objetivo principal é saturar a largura de banda disponível do alvo ou da infraestrutura de rede que o conecta à internet. O tamanho do ataque é tipicamente medido em gigabits por segundo (Gbps) ou pacotes por segundo (PPS).
#### Inundação ICMP (Ping Flood)
O atacante envia um número massivo de pacotes ICMP Echo Request (ping) para o alvo. O servidor da vítima é forçado a processar cada solicitação e enviar uma resposta correspondente, consumindo largura de banda de entrada e saída, bem como ciclos de CPU. Quando o volume excede a capacidade do servidor, o tráfego legítimo é completamente bloqueado.
Característica principal: Simples de executar, frequentemente usado como cortina de fumaça para ataques simultâneos mais sofisticados.
#### Inundação UDP
Em uma inundação UDP, o atacante envia grandes volumes de pacotes do Protocolo de Datagrama do Usuário (UDP) para portas aleatórias no host alvo. Como o UDP é sem conexão e sem estado, o servidor alvo deve:
- Verificar se alguma aplicação está escutando na porta de destino.
- Responder com um pacote ICMP “Destino Inacessível” se nenhuma aplicação for encontrada.
Esse processo repetido milhões de vezes por segundo esgota rapidamente os recursos do servidor e a largura de banda disponível.
#### Ataques de Amplificação (Amplificação DNS/NTP)
Um subtipo particularmente perigoso de ataques volumétricos da Camada 3, os ataques de amplificação exploram servidores acessíveis publicamente (resolutores DNS, servidores NTP, instâncias memcached) para multiplicar o tráfego de ataque. O atacante falsifica o endereço IP da vítima e envia pequenas solicitações para esses servidores, que respondem com respostas 10x a 100x maiores — todas direcionadas para a vítima.
2. Ataques de Protocolo — Camada 4 (Camada de Transporte)
Os ataques de protocolo exploram fraquezas nos próprios protocolos de comunicação TCP/IP, em vez de simplesmente inundar a largura de banda. Eles visam esgotar recursos do lado do servidor, como tabelas de estado de conexão, tabelas de sessão de firewall e capacidade de balanceador de carga. O tamanho do ataque é medido em pacotes por segundo (PPS).
#### Inundação SYN
A inundação SYN é uma das técnicas DDoS mais conhecidas e amplamente utilizadas. Ela explora o handshake de três vias TCP:
- O cliente envia um pacote SYN para iniciar uma conexão.
- O servidor responde com um SYN-ACK e aloca recursos enquanto aguarda o ACK final.
- Em uma inundação SYN, o atacante envia milhares de pacotes SYN — frequentemente com endereços IP de origem falsificados — mas nunca completa o handshake.
A tabela de conexão do servidor se enche com conexões meio abertas, impedindo que ele aceite novas conexões legítimas. Este é um ataque altamente eficaz mesmo em volumes de tráfego relativamente baixos.
#### Ping da Morte
O ataque Ping da Morte envolve enviar pacotes malformados ou superdimensionados para o alvo. A especificação IPv4 limita o tamanho do pacote a 65.535 bytes; quando um pacote superdimensionado é fragmentado e remontado, pode causar transbordamentos de buffer, travamentos do sistema ou reinicializações em sistemas vulneráveis. Embora os sistemas operacionais modernos tenham sido amplamente corrigidos contra o Ping da Morte clássico, variantes continuam surgindo.
#### Inundação ACK
Em uma inundação ACK, o atacante envia um grande volume de pacotes TCP ACK para o alvo. Como o servidor não tem registro dos pacotes SYN correspondentes, ele deve processar cada um para determinar que é inválido — consumindo CPU e memória no processo.
3. Ataques de Camada de Aplicação — Camada 7 (Camada de Aplicação)
Os ataques de camada de aplicação são os mais sofisticados e os mais difíceis de detectar porque imitam muito de perto o comportamento do usuário legítimo. Em vez de sobrecarregar a largura de banda ou esgotar as tabelas de conexão, eles visam os recursos computacionais de aplicações específicas — servidores web, bancos de dados, APIs e sistemas de login. O tamanho do ataque é medido em solicitações por segundo (RPS).
#### Inundação HTTP
Uma inundação HTTP envia um número massivo de solicitações HTTP GET ou POST aparentemente legítimas para um servidor web. Como cada solicitação parece válida, o bloqueio simples baseado em IP é ineficaz. O servidor deve processar cada solicitação — consultando bancos de dados, renderizando páginas, executando scripts — até ficar completamente sobrecarregado e incapaz de servir usuários reais.
As inundações GET normalmente visam páginas com uso intensivo de recursos (resultados de pesquisa, listagens de produtos).
As inundações POST visam formulários e endpoints de login, forçando o servidor a processar grandes quantidades de dados enviados.
#### Slowloris
Slowloris é um ataque exclusivamente furtivo que requer muito pouca largura de banda. Funciona:
- Abrindo um grande número de conexões com o servidor web alvo.
- Enviando cabeçalhos de solicitação HTTP parciais e incompletos — apenas o suficiente para manter cada conexão ativa.
- Enviando periodicamente linhas de cabeçalho adicionais para evitar timeouts.
O servidor mantém cada conexão aberta aguardando a conclusão da solicitação, esgotando gradualmente seu pool de conexão máxima. Uma vez que o pool está cheio, nenhuma nova conexão legítima pode ser aceita — efetivamente colocando o servidor offline enquanto usa recursos mínimos do atacante.
#### Inundação de Consulta DNS
Visando a infraestrutura DNS na Camada 7, os atacantes enviam volumes enormes de solicitações de pesquisa DNS para nomes de domínio inexistentes ou aleatórios. O servidor DNS deve processar cada consulta, consumindo CPU e memória até não conseguir mais resolver solicitações legítimas — efetivamente desconectando o alvo da internet.
#### Esgotamento SSL/TLS
Esses ataques exploram o custo computacional dos handshakes SSL/TLS. Estabelecer uma conexão criptografada requer recursos significativos de CPU no lado do servidor. Ao iniciar milhares de handshakes SSL por segundo sem completá-los, os atacantes podem sobrecarregar até servidores bem provisionados.
Impacto Real dos Ataques DDoS
Compreender a mecânica técnica é apenas metade da história. As consequências comerciais de um ataque DDoS bem-sucedido podem ser severas e duradouras:
Tempo de Inatividade do Serviço e Perda de Receita
Cada minuto que seu website ou aplicação fica offline se traduz diretamente em perda de receita. Para plataformas de e-commerce, produtos SaaS e serviços online, até algumas horas de tempo de inatividade podem custar milhares ou dezenas de milhares de dólares — sem contar os custos indiretos de perda de clientes.
Aumento dos Custos Operacionais
Resposta a incidentes de emergência, provisionamento adicional de largura de banda, serviços de mitigação especializados e horas extras para a equipe de TI se acumulam rapidamente durante e após um ataque DDoS.
Dano à Reputação
Clientes e parceiros notam quando os serviços ficam offline. Interrupções repetidas ou prolongadas corroem a confiança, danificam a reputação da marca e podem levar usuários permanentemente para concorrentes. Para empresas em indústrias reguladas, o tempo de inatividade também pode desencadear violações de conformidade e penalidades associadas.
Distração de Segurança (Ataques de Cortina de Fumaça)
Alguns ataques DDoS são deliberadamente projetados como diversões — mantendo as equipes de segurança ocupadas enquanto os atacantes simultaneamente executam violações de dados, implantações de ransomware ou outras intrusões através de vetores não monitorados.
Estratégias de Mitigação de DDoS: Um Guia Prático
A defesa eficaz contra DDoS requer uma abordagem em camadas e proativa que aborde ameaças em cada nível OSI. Nenhuma solução única é suficiente por si só.
1. Escolha uma Infraestrutura Construída para Resiliência
Sua base de hospedagem importa enormemente. Escolher um provedor que oferece infraestrutura consciente de DDoS com uplinks de rede de alta capacidade, filtragem em nível de hardware e conectividade redundante é a primeira linha de defesa.
Se você está executando aplicações críticas para os negócios, considere fazer upgrade para um plano de Hospedagem VPS ou solução de Servidores Dedicados que fornece recursos dedicados, maior controle sobre a configuração de rede e a capacidade de implementar regras de firewall personalizadas — todas as vantagens críticas quando sob ataque.
2. Implemente Filtragem de Tráfego e Firewalls
Implante firewalls com estado e sistemas de detecção/prevenção de intrusão (IDS/IPS) para inspecionar o tráfego de entrada e descartar automaticamente pacotes que correspondem a assinaturas de ataque conhecidas. Configure regras para:
- Bloquear tráfego de intervalos de IP maliciosos conhecidos e ASNs.
- Descartar pacotes malformados e estados de protocolo inválidos.
- Restringir tráfego ICMP e UDP a casos de uso legítimos.
- Impor validação rigorosa de estado TCP para combater inundações SYN.
3. Aplique Limitação de Taxa
A limitação de taxa controla quantas solicitações um único endereço IP ou conexão pode fazer dentro de uma janela de tempo definida. Isso é particularmente eficaz contra ataques da Camada 7 como inundações HTTP e inundações de consulta DNS. Implemente limitação de taxa em múltiplos níveis:
- Nível do servidor web (NGINX, Apache)
- Nível do firewall de aplicação (regras WAF)
- Nível de CDN/borda (Cloudflare, Akamai)
4. Implante um Firewall de Aplicação Web (WAF)
Um WAF opera na Camada 7 e pode distinguir entre usuários legítimos e tráfego de ataque com base em análise comportamental, padrões de solicitação e pontuação de reputação. É particularmente eficaz contra inundações HTTP, Slowloris e exploits específicos de aplicação.
5. Use Difusão de Rede Anycast
O roteamento Anycast distribui o tráfego de entrada em múltiplos data centers geograficamente dispersos. Em vez de todo o tráfego de ataque atingir um único servidor, ele é espalhado pela rede inteira — diluindo seu impacto e tornando os ataques volumétricos muito menos eficazes.
6. Implemente Redundância e Balanceamento de Carga
Distribuir sua aplicação em múltiplos servidores e regiões geográficas usando balanceadores de carga garante que mesmo se um nó ficar sobrecarregado, outros continuem servindo usuários legítimos. Essa arquitetura também melhora o desempenho e a disponibilidade em condições normais.
7. Aproveite Serviços Especializados de Proteção contra DDoS
Para empresas enfrentando ameaças DDoS sérias ou persistentes, serviços de mitigação de DDoS dedicados (como Cloudflare Magic Transit, Radware ou Imperva) fornecem limpeza de tráfego sempre ativa — limpando tráfego malicioso antes de chegar à sua infraestrutura.
8. Proteja Sua Infraestrutura DNS
Como DNS é um alvo frequente de DDoS, garanta que seu provedor DNS oferece infraestrutura resiliente a DDoS com roteamento anycast e limitação de taxa. Considere usar DNSSEC para evitar ataques de falsificação DNS e envenenamento de cache que podem agravar danos de DDoS.
9. Mantenha Certificados SSL Válidos e Adequadamente Configurados
Certificados SSL expirados ou mal configurados podem criar vulnerabilidades que os atacantes exploram. Manter Certificados SSL válidos garante que as conexões criptografadas sejam tratadas eficientemente e reduz a exposição a ataques de esgotamento SSL.
10. Desenvolva e Teste um Plano de Resposta a Incidentes
Ter um plano de resposta a DDoS documentado e testado reduz dramaticamente o tempo para mitigar um ataque. Seu plano deve incluir:
- Caminhos de escalação claros e listas de contatos.
- Modelos de regras de firewall pré-configurados para tipos de ataque comuns.
- Relacionamentos com provedores upstream para null-routing de emergência ou limpeza de tráfego.
- Procedimentos de revisão pós-incidente para melhorar as defesas.
Resumo de Ataque DDoS: Camadas OSI em um Relance
| Tipo de Ataque | Camada OSI | Recurso Alvo | Unidade de Medida |
|---|---|---|---|
| Inundação ICMP | Camada 3 — Rede | Largura de banda | Gbps |
| Inundação UDP | Camada 3 — Rede | Largura de banda / CPU | Gbps / PPS |
| Amplificação DNS/NTP | Camada 3 — Rede | Largura de banda | Gbps |
| Inundação SYN | Camada 4 — Transporte | Tabelas de conexão | PPS |
| Inundação ACK | Camada 4 — Transporte | CPU / Tabelas de estado | PPS |
| Ping da Morte | Camada 4 — Transporte | Estabilidade do sistema | PPS |
| Inundação HTTP | Camada 7 — Aplicação | CPU do servidor web | RPS |
| Slowloris | Camada 7 — Aplicação | Pool de conexão | Conexões |
| Inundação de Consulta DNS | Camada 7 — Aplicação | CPU do servidor DNS | RPS |
| Esgotamento SSL | Camada 7 — Aplicação | CPU (operações criptográficas) | Handshakes/seg |
Construindo um Ambiente de Hospedagem Resiliente a DDoS
A defesa mais eficaz a longo prazo contra ataques DDoS começa com a escolha da infraestrutura certa. Veja como a AlexHost pode ajudar:
- Hospedagem VPS — Servidores virtuais isolados com recursos dedicados, acesso root completo e a capacidade de implementar regras de firewall personalizadas e configurações de rede adaptadas aos seus requisitos de segurança.
- Servidores Dedicados — Desempenho máximo e controle para aplicações de alto tráfego que exigem o mais alto nível de resiliência a DDoS e proteção de rede personalizada.
- Painéis de Controle VPS — Interfaces de gerenciamento intuitivas que facilitam o monitoramento de padrões de tráfego, configuração de regras de segurança e resposta rápida a anomalias.
- Certificados SSL — Mantenha suas conexões criptografadas seguras e adequadamente