Ataques DDoS: Tipos, Camadas do Modelo OSI e Como Proteger Sua Infraestrutura
Os ataques de Negação de Serviço Distribuído (DDoS) continuam sendo uma das ameaças mais disruptivas e custosas enfrentadas por empresas online, aplicações web e infraestrutura de hosting atualmente. Quer você execute um pequeno site de e-commerce ou gerencie servidores de nível empresarial, compreender como os ataques DDoS funcionam — e como eles se mapeiam para camadas específicas do modelo OSI — é a base de qualquer estratégia de defesa séria.
Neste guia abrangente, detalhamos todos os principais tipos de ataques DDoS, explicamos qual camada OSI cada um ataca, descrevemos o impacto real nos seus negócios e apresentamos estratégias de mitigação comprovadas para manter seus serviços online.
O Que É um Ataque DDoS?
Um ataque de Distributed Denial of Service (DDoS) é uma tentativa coordenada e maliciosa de sobrecarregar um servidor, rede ou serviço alvo com um enorme volume de tráfego ou requisições que esgotam recursos — tornando-o incapaz de responder aos utilizadores legítimos.
Ao contrário de um simples ataque DoS lançado a partir de uma única máquina, os ataques DDoS aproveitam botnets: redes de milhares ou até milhões de dispositivos comprometidos (computadores, dispositivos IoT, servidores) que inundam simultaneamente o alvo. A natureza distribuída torna estes ataques muito mais difíceis de bloquear e muito mais poderosos.
O objetivo final é direto: esgotar os recursos do alvo — largura de banda, CPU, memória ou capacidade de conexão — causando tempo de inatividade, degradação do desempenho e interrupção do serviço.
O Modelo OSI: Por Que É Importante para a Defesa contra DDoS
O modelo OSI (Open Systems Interconnection) é um framework conceptual que divide a comunicação de rede em sete camadas distintas, cada uma responsável por uma função específica. Os ataques DDoS são deliberadamente projetados para explorar vulnerabilidades em camadas específicas, razão pela qual compreender o modelo é essencial para diagnosticar e se defender contra eles.
| Camada OSI | Nome | Função |
|---|---|---|
| Camada 1 | Física | Transmissão de hardware de dados brutos |
| Camada 2 | Ligação de Dados | Transferência de dados de nó para nó |
| Camada 3 | Rede | Encaminhamento e endereçamento IP |
| Camada 4 | Transporte | Comunicação de ponta a ponta (TCP/UDP) |
| Camada 5 | Sessão | Gestão de sessão |
| Camada 6 | Apresentação | Formatação de dados e encriptação |
| Camada 7 | Aplicação | Protocolos voltados para o utilizador (HTTP, DNS, etc.) |
Os ataques DDoS visam principalmente as Camadas 3, 4 e 7, cada uma exigindo uma abordagem diferente de detecção e mitigação.
Tipos de Ataques DDoS por Camada OSI
1. Ataques Baseados em Volume — Camada 3 (Camada de Rede)
Ataques baseados em volume são os mais diretos e frequentemente os maiores em termos de volume bruto de tráfego. Seu objetivo principal é saturar a largura de banda disponível do alvo ou da infraestrutura de rede que o conecta à internet. O tamanho do ataque é tipicamente medido em gigabits por segundo (Gbps) ou pacotes por segundo (PPS).
ICMP Flood (Ping Flood)
O atacante envia um número massivo de pacotes ICMP Echo Request (ping) para o alvo. O servidor da vítima é forçado a processar cada solicitação e enviar uma resposta correspondente, consumindo largura de banda de entrada e saída, bem como ciclos de CPU. Quando o volume excede a capacidade do servidor, o tráfego legítimo é completamente bloqueado.
Característica principal: Simples de executar, frequentemente usado como cortina de fumaça para ataques simultâneos mais sofisticados.
UDP Flood
Em um UDP flood, o atacante envia grandes volumes de pacotes User Datagram Protocol (UDP) para portas aleatórias no host alvo. Como UDP é sem conexão e sem estado, o servidor alvo deve:
- Verificar se alguma aplicação está escutando na porta de destino.
- Responder com um pacote ICMP “Destination Unreachable” se nenhuma aplicação for encontrada.
Este processo repetido milhões de vezes por segundo esgota rapidamente os recursos do servidor e a largura de banda disponível.
Ataques de Amplificação (Amplificação DNS/NTP)
Um subtipo particularmente perigoso de ataques volumétricos da Camada 3, ataques de amplificação exploram servidores publicamente acessíveis (resolvedores DNS, servidores NTP, instâncias memcached) para multiplicar o tráfego de ataque. O atacante falsifica o endereço IP da vítima e envia pequenas solicitações para esses servidores, que respondem com respostas 10x a 100x maiores — todas direcionadas à vítima.
2. Ataques de Protocolo — Camada 4 (Camada de Transporte)
Ataques de protocolo exploram fraquezas nos protocolos de comunicação TCP/IP em si, em vez de simplesmente inundar a largura de banda. Eles visam esgotar recursos do lado do servidor, como tabelas de estado de conexão, tabelas de sessão de firewall e capacidade de balanceador de carga. O tamanho do ataque é medido em pacotes por segundo (PPS).
SYN Flood
O SYN flood é uma das técnicas DDoS mais conhecidas e amplamente utilizadas. Ele explora o handshake de três vias TCP:
- Cliente envia um pacote SYN para iniciar uma conexão.
- Servidor responde com SYN-ACK e aloca recursos enquanto aguarda o ACK final.
- Em um SYN flood, o atacante envia milhares de pacotes SYN — frequentemente com IPs de origem falsificados — mas nunca completa o handshake.
A tabela de conexão do servidor se enche com conexões meio-abertas, impedindo que ele aceite novas conexões legítimas. Este é um ataque altamente eficaz mesmo em volumes de tráfego relativamente baixos.
Ping of Death
O ataque Ping of Death envolve enviar pacotes malformados ou superdimensionados para o alvo. A especificação IPv4 limita o tamanho do pacote a 65.535 bytes; quando um pacote superdimensionado é fragmentado e remontado, pode causar estouros de buffer, travamentos do sistema ou reinicializações em sistemas vulneráveis. Embora os sistemas operacionais modernos tenham sido amplamente corrigidos contra o Ping of Death clássico, variantes continuam a surgir.
ACK Flood
Em um ACK flood, o atacante envia um grande volume de pacotes TCP ACK para o alvo. Como o servidor não tem registro dos pacotes SYN correspondentes, deve processar cada um para determinar que é inválido — consumindo CPU e memória no processo.
3. Ataques de Camada de Aplicação — Camada 7 (Camada de Aplicação)
Ataques de camada de aplicação são os mais sofisticados e os mais difíceis de detectar porque imitam muito de perto o comportamento de usuários legítimos. Em vez de sobrecarregar a largura de banda ou esgotar tabelas de conexão, eles visam os recursos computacionais de aplicações específicas — servidores web, bancos de dados, APIs e sistemas de login. O tamanho do ataque é medido em solicitações por segundo (RPS).
HTTP Flood
Um HTTP flood envia um número massivo de solicitações HTTP GET ou POST aparentemente legítimas para um servidor web. Como cada solicitação parece válida, o bloqueio simples baseado em IP é ineficaz. O servidor deve processar cada solicitação — consultando bancos de dados, renderizando páginas, executando scripts — até ficar completamente sobrecarregado e incapaz de servir usuários reais.
GET floods normalmente visam páginas com muitos recursos (resultados de pesquisa, listagens de produtos).
POST floods visam formulários e endpoints de login, forçando o servidor a processar grandes quantidades de dados enviados.
Slowloris
Slowloris é um ataque uniquamente furtivo que requer muito pouca largura de banda. Funciona:
- Abrindo um grande número de conexões para o servidor web alvo.
- Enviando cabeçalhos de solicitação HTTP parciais e incompletos — apenas o suficiente para manter cada conexão viva.
- Enviando periodicamente linhas de cabeçalho adicionais para evitar timeouts.
O servidor mantém cada conexão aberta aguardando a conclusão da solicitação, esgotando gradualmente seu pool de conexão máximo. Uma vez que o pool está cheio, nenhuma nova conexão legítima pode ser aceita — efetivamente colocando o servidor offline enquanto usa recursos mínimos do atacante.
DNS Query Flood
Visando infraestrutura DNS na Camada 7, atacantes enviam enormes volumes de solicitações de pesquisa DNS para nomes de domínio inexistentes ou aleatórios. O servidor DNS deve processar cada consulta, consumindo CPU e memória até não conseguir mais resolver solicitações legítimas — efetivamente desconectando o alvo da internet.
SSL/TLS Exhaustion
Estes ataques exploram o custo computacional dos handshakes SSL/TLS. Estabelecer uma conexão criptografada requer recursos significativos de CPU no lado do servidor. Ao iniciar milhares de handshakes SSL por segundo sem completá-los, atacantes podem sobrecarregar até servidores bem provisionados.
Impacto Real dos Ataques DDoS
Compreender a mecânica técnica é apenas metade do quadro. As consequências comerciais de um ataque DDoS bem-sucedido podem ser graves e duradouras:
Tempo de Inatividade do Serviço e Perda de Receita
Cada minuto que seu website ou aplicação fica offline se traduz diretamente em receita perdida. Para plataformas de e-commerce, produtos SaaS e serviços online, até algumas horas de inatividade podem custar milhares ou dezenas de milhares de dólares — sem contar os custos indiretos da perda de clientes.
Custos Operacionais Aumentados
Resposta de incidentes de emergência, provisionamento de largura de banda adicional, serviços especializados de mitigação e horas extras para a equipe de TI tudo se acumula rapidamente durante e após um ataque DDoS.
Dano à Reputação
Clientes e parceiros notam quando os serviços ficam indisponíveis. Interrupções repetidas ou prolongadas corroem a confiança, danificam a reputação da marca e podem levar usuários permanentemente para concorrentes. Para empresas em indústrias reguladas, o tempo de inatividade também pode desencadear violações de conformidade e penalidades associadas.
Distração de Segurança (Ataques de Cortina de Fumaça)
Alguns ataques DDoS são deliberadamente projetados como diversões — mantendo as equipes de segurança ocupadas enquanto os atacantes executam simultaneamente violações de dados, implantações de ransomware ou outras intrusões através de vetores não monitorados.
Estratégias de Mitigação de DDoS: Um Guia Prático
A defesa eficaz contra DDoS requer uma abordagem em camadas e proativa que aborde ameaças em todos os níveis OSI. Nenhuma solução única é suficiente por si só.
1. Escolha uma Infraestrutura Construída para Resiliência
Sua base de hospedagem é extremamente importante. Escolher um provedor que ofereça infraestrutura ciente de DDoS com uplinks de rede de alta capacidade, filtragem em nível de hardware e conectividade redundante é a primeira linha de defesa.
Se você está executando aplicações críticas para o negócio, considere fazer upgrade para um plano de VPS Hosting ou uma solução de Dedicated Servers que fornece recursos dedicados, maior controle sobre a configuração de rede e a capacidade de implementar regras de firewall personalizadas — todas as vantagens críticas quando sob ataque.
2. Implemente Filtragem de Tráfego e Firewalls
Implante firewalls com estado e sistemas de detecção/prevenção de intrusão (IDS/IPS) para inspecionar o tráfego recebido e descartar automaticamente pacotes que correspondem a assinaturas de ataque conhecidas. Configure regras para:
- Bloquear tráfego de intervalos de IP e ASNs maliciosos conhecidos.
- Descartar pacotes malformados e estados de protocolo inválidos.
- Restringir tráfego ICMP e UDP a casos de uso legítimos.
- Aplicar validação rigorosa de estado TCP para combater inundações SYN.
3. Aplique Limitação de Taxa
Limitação de taxa controla quantas solicitações um único endereço IP ou conexão pode fazer dentro de uma janela de tempo definida. Isso é particularmente eficaz contra ataques de Camada 7, como inundações HTTP e inundações de consultas DNS. Implemente limitação de taxa em múltiplos níveis:
- Nível do servidor web (NGINX, Apache)
- Nível do firewall de aplicação (regras WAF)
- Nível CDN/edge (Cloudflare, Akamai)
4. Implante um Firewall de Aplicação Web (WAF)
Um WAF opera na Camada 7 e pode distinguir entre usuários legítimos e tráfego de ataque com base em análise comportamental, padrões de solicitação e pontuação de reputação. É particularmente eficaz contra inundações HTTP, Slowloris e exploits específicos de aplicação.
5. Use Difusão de Rede Anycast
Roteamento Anycast distribui o tráfego recebido em múltiplos data centers geograficamente dispersos. Em vez de todo o tráfego de ataque atingir um único servidor, ele é distribuído pela rede inteira — diluindo seu impacto e tornando ataques volumétricos muito menos eficazes.
6. Implemente Redundância e Balanceamento de Carga
Distribuir sua aplicação em múltiplos servidores e regiões geográficas usando balanceadores de carga garante que mesmo se um nó ficar sobrecarregado, outros continuem servindo usuários legítimos. Essa arquitetura também melhora o desempenho e a disponibilidade em condições normais.
7. Aproveite Serviços Especializados de Proteção contra DDoS
Para empresas enfrentando ameaças de DDoS sérias ou persistentes, serviços especializados de mitigação de DDoS (como Cloudflare Magic Transit, Radware ou Imperva) fornecem limpeza de tráfego sempre ativa — limpando tráfego malicioso antes de chegar à sua infraestrutura.
8. Proteja sua Infraestrutura DNS
Como DNS é um alvo frequente de DDoS, certifique-se de que seu provedor DNS oferece infraestrutura resiliente a DDoS com roteamento anycast e limitação de taxa. Considere usar DNSSEC para prevenir spoofing de DNS e ataques de envenenamento de cache que podem agravar danos de DDoS.
9. Mantenha Certificados SSL Válidos e Configurados Corretamente
Certificados SSL expirados ou mal configurados podem criar vulnerabilidades que atacantes exploram. Manter Certificados SSL válidos garante que conexões criptografadas sejam tratadas eficientemente e reduz a exposição a ataques de esgotamento SSL.
10. Desenvolva e Teste um Plano de Resposta a Incidentes
Ter um plano de resposta a DDoS documentado e testado reduz drasticamente o tempo para mitigar um ataque. Seu plano deve incluir:
- Caminhos de escalação claros e listas de contatos.
- Modelos de regras de firewall pré-configurados para tipos de ataque comuns.
- Relacionamentos com provedores upstream para null-routing de emergência ou limpeza de tráfego.
- Procedimentos de revisão pós-incidente para melhorar as defesas.
Resumo de Ataque DDoS: Camadas OSI num Relance
| Tipo de Ataque | Camada OSI | Recurso Alvo | Unidade de Medida |
|---|---|---|---|
| ICMP Flood | Camada 3 — Rede | Largura de banda | Gbps |
| UDP Flood | Camada 3 — Rede | Largura de banda / CPU | Gbps / PPS |
| DNS/NTP Amplification | Camada 3 — Rede | Largura de banda | Gbps |
| SYN Flood | Camada 4 — Transporte | Tabelas de conexão | PPS |
| ACK Flood | Camada 4 — Transporte | CPU / Tabelas de estado | PPS |
| Ping of Death | Camada 4 — Transporte | Estabilidade do sistema | PPS |
| HTTP Flood | Camada 7 — Aplicação | CPU do servidor web | RPS |
| Slowloris | Camada 7 — Aplicação | Pool de conexões | Conexões |
| DNS Query Flood | Camada 7 — Aplicação | CPU do servidor DNS | RPS |
| SSL Exhaustion | Camada 7 — Aplicação | CPU (operações criptográficas) | Handshakes/sec |
Construindo um Ambiente de Hospedagem Resiliente a DDoS
A defesa de longo prazo mais eficaz contra ataques DDoS começa com a escolha da infraestrutura certa. Veja como a AlexHost pode ajudar:
- VPS Hosting — Servidores virtuais isolados com recursos dedicados, acesso root completo e a capacidade de implementar regras de firewall personalizadas e configurações de rede adaptadas aos seus requisitos de segurança.
- Dedicated Servers — Desempenho máximo e controle para aplicações de alto tráfego que exigem o mais alto nível de resiliência a DDoS e proteção de rede personalizada.
- VPS Control Panels — Interfaces de gerenciamento intuitivas que facilitam o monitoramento de padrões de tráfego, a configuração de regras de segurança e a resposta rápida a anomalias.
- SSL Certificates — Mantenha suas conexões criptografadas seguras e adequadamente configuradas para minimizar superfícies de ataque baseadas em SSL.
- Shared Web Hosting — Para projetos menores, a infraestrutura de hospedagem compartilhada da AlexHost inclui proteções em nível de rede que fornecem uma base de segurança sólida sem a complexidade de gerenciar seu próprio servidor.
Conclusão
Os ataques DDoS são uma ameaça persistente e em evolução que nenhuma empresa online pode ignorar. Ao compreender como diferentes tipos de ataque visam camadas OSI específicas — desde inundações de largura de banda bruta na Camada 3, até exploração de protocolos na Camada 4, até ataques sofisticados no nível de aplicação na Camada 7 — você ganha o conhecimento necessário para construir uma estratégia de defesa verdadeiramente abrangente.
A proteção eficaz nunca é uma solução única. É uma combinação de infraestrutura resiliente, filtragem inteligente de tráfego, limitação de taxa, redundância e monitoramento proativo — tudo trabalhando junto para manter seus serviços online quando os atacantes atacam.
Investir na infraestrutura de hospedagem correta é a base dessa defesa. Explore a gama de soluções de hospedagem da AlexHost para encontrar a opção certa para seus requisitos de segurança e desempenho — e garanta que seu negócio permaneça online, não importa o quê.
em todos os serviços de alojamento