{"id":48849,"date":"2025-12-02T14:03:46","date_gmt":"2025-12-02T17:03:46","guid":{"rendered":"\/pt\/tutoriais\/como-a-hostinger-lida-com-ataques-ddos"},"modified":"2025-12-02T14:03:46","modified_gmt":"2025-12-02T17:03:46","slug":"como-a-hostinger-lida-com-ataques-ddos","status":"publish","type":"post","link":"\/pt\/tutoriais\/como-a-hostinger-lida-com-ataques-ddos","title":{"rendered":"Como a Hostinger lida com os ataques DDoS"},"content":{"rendered":"<h2 class=\"wp-block-heading\" id=\"h-como-reconhecer-um-ataque-de-negacao-de-servico-ddos\"><strong>Como Reconhecer um Ataque de Nega&ccedil;&atilde;o de Servi&ccedil;o (DDoS)<\/strong><\/h2><p>Para evitar um ataque, &eacute; preciso saber o que est&aacute; por vir. Quando detectamos uma tentativa de interrup&ccedil;&atilde;o da opera&ccedil;&atilde;o regular de um servidor, servi&ccedil;o ou rede-alvo por meio da sobrecarga de tr&aacute;fego indesejado, significa que estamos sob ataque de nega&ccedil;&atilde;o de servi&ccedil;o (ou DDoS).<\/p><p>Um <a href=\"https:\/\/support.hostinger.com\/pt\/articles\/5634639-o-que-sao-ataques-ddos-e-como-evita-los\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>ataque DDoS<\/strong><\/a> tenta negar o acesso a um servidor de destino gerando um grande n&uacute;mero de tr&aacute;fego malicioso que consome os recursos dispon&iacute;veis do alvo. Para evit&aacute;-los, implementamos solu&ccedil;&otilde;es de filtragem de tr&aacute;fego para impedir tais ataques e garantir o m&aacute;ximo de uptime (tempo de atividade do site) poss&iacute;vel.<\/p><p>Estamos sempre melhorando nossos servi&ccedil;os e renovando nossos sistemas para mant&ecirc;-los sempre preparados para esses ataques. Neste artigo, mostraremos como combatemos os ataques DDoS e explicaremos nosso filtro de tr&aacute;fego Wanguard e a infraestrutura geral.<\/p><h2 class=\"wp-block-heading\" id=\"h-como-e-um-ataque-ddos\"><strong>Como &eacute; um Ataque DDoS?<\/strong><\/h2><p>Aqui vai um exemplo real de um ataque DDoS. Imagine 400 Mbps de tr&aacute;fego UDP direcionado a um VPS com 100 Mbps de largura de banda dispon&iacute;vel.&nbsp;<\/p><p><em>Resultados do tempo de carregamento do site simples do Jekyll:<\/em><\/p><p><em>Antes do ataque: 0,08 segundos<\/em><\/p><p><em>Durante o ataque: 23,35 segundos (1&ordf; tentativa), 30,86 segundos (2&ordf; tentativa)<\/em><\/p><p>Os ataques DDoS costumam ser dif&iacute;ceis de serem combatidos porque, geralmente, eles envolvem v&aacute;rias botnets direcionadas a voc&ecirc;. Uma botnet &eacute; uma rede de computadores infectada, por isso, combat&ecirc;-las sozinhas pode, na maioria das vezes, ser uma batalha perdida.<\/p><h2 class=\"wp-block-heading\" id=\"h-como-lidamos-com-os-ataques-ddos\"><strong>Como Lidamos com os Ataques DDoS<\/strong><\/h2><p>Temos duas solu&ccedil;&otilde;es de minimiza&ccedil;&atilde;o DDoS para lidar com ataques em nossa infraestrutura: &#8291;<strong> black hole acionado remotamente<\/strong> (RTBH) e <strong>filtragem de tr&aacute;fego<\/strong>.<\/p><p>A <strong>filtragem RTBH<\/strong> oferece uma maneira de eliminar o tr&aacute;fego indesejado rapidamente, antes que ele adentre nossa infraestrutura. Embora esse m&eacute;todo proteja nossa infraestrutura como uma provedora de servi&ccedil;os, ele impede que todo o tr&aacute;fego chegue at&eacute; n&oacute;s &mdash; algo que nossos clientes n&atilde;o gostam. Isso porque, com o tempo, os sites e VPS ficam totalmente inacess&iacute;veis. Como consequ&ecirc;ncia, os cibercriminosos alcan&ccedil;am seus objetivos.<\/p><p><strong>Filtragem de tr&aacute;fego<\/strong> &eacute; o pr&oacute;ximo n&iacute;vel de prote&ccedil;&atilde;o DDoS para nossos servi&ccedil;os. Ele s&oacute; impede o tr&aacute;fego malicioso em vez de diminuir todos os tr&aacute;fegos. O tr&aacute;fego malicioso &eacute; identificado examinando os pacotes que navegam por nossa estrutura. Os seguintes elementos de tr&aacute;fego s&atilde;o inspecionados para padr&otilde;es espec&iacute;ficos?&nbsp;<\/p><ul class=\"wp-block-list\"><li>pacote de carga &uacute;til<\/li><li>porta de origem<\/li><li>IP de origem<\/li><li>porta de destino<\/li><li>pa&iacute;s<\/li><li>e mais<\/li><\/ul><p>Esse processo de filtragem &eacute; feito na nossa infraestrutura antes que o tr&aacute;fego chegue aos nossos servi&ccedil;os, assim, nossos clientes n&atilde;o t&ecirc;m nada com que se preocuparem.<\/p><h2 class=\"wp-block-heading\" id=\"h-filtragem-de-trafego\"><strong>Filtragem de Tr&aacute;fego<\/strong><\/h2><h3 class=\"wp-block-heading\" id=\"h-configuracao\"><strong>Configura&ccedil;&atilde;o<\/strong><\/h3><p>N&oacute;s implementamos a <strong>filtragem fora de linha<\/strong> para a nossa configura&ccedil;&atilde;o. Como raramente sofremos ataques DDoS, <strong>a filtragem em linha<\/strong> seria ineficiente em praticidade e custos reais &mdash;por isso usamos o <strong>m&eacute;todo RTBH<\/strong>.&nbsp;<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-2-1024x356.png\" alt=\"\" class=\"wp-image-923\"><figcaption>Tipologia de configura&ccedil;&atilde;o de filtragem simplificada<\/figcaption><\/figure><\/div><p>Nossa configura&ccedil;&atilde;o envolve inst&acirc;ncias de filtro conectadas a <strong>spine switches<\/strong> dos quais o tr&aacute;fego desviado circula. Usamos o sFlows, enviados de inst&acirc;ncias spine para a inst&acirc;ncia de filtro, para investigar e desviar o tr&aacute;fego, se necess&aacute;rio. O tr&aacute;fego limpo &eacute; encaminhado para ps switches leaf, enquanto o tr&aacute;fego malicioso &eacute; descartado na inst&acirc;ncia do filtro. &Eacute; importante notar que o <strong>desvio de tr&aacute;fego<\/strong> e os <strong>processos de filtragem<\/strong> s&atilde;o <strong>totalmente automatizados<\/strong>.&nbsp;<\/p><p>Se algum servidor de destino apresentar um pico de tr&aacute;fego acima de nossos limites estabelecidos, o endere&ccedil;o IP &eacute; anunciado para as spines usando<strong> o ExaBGP. <\/strong>Quando o tr&aacute;fego chega a uma inst&acirc;ncia de filtro, examinamos os pacotes de entrada para identificar o padr&atilde;o de ataque. Ap&oacute;s conclu&iacute;das, novas regras s&atilde;o adicionadas ao firewall, impedindo que tr&aacute;fegos maliciosos cheguem ao seu destino.<\/p><h3 class=\"wp-block-heading\" id=\"h-hardware\"><strong>Hardware<\/strong><\/h3><p>O servidor de filtro depende dos principais elementos: CPU e NIC. Depois de alguns testes e pesquisas, decidimos o seguinte:<\/p><p><em>CPU: Intel(R) Xeon(R) Silver 4215R @ 3.2 GHz<\/em><\/p><p><em>NIC: Intel XL710 (40G)<\/em><\/p><p>Durante o ataque de DDoS com <strong>~15 Mpps<\/strong> e <strong>8 Gbps<\/strong> de tr&aacute;fego, o uso da CPU parece com isso:<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-3-1024x368.png\" alt=\"\" class=\"wp-image-924\"><\/figure><\/div><h3 class=\"wp-block-heading\" id=\"h-automatizacao\"><strong>Automatiza&ccedil;&atilde;o<\/strong><\/h3><p>Seria dif&iacute;cil gerenciar v&aacute;rias inst&acirc;ncias de filtro em todos os servidores manualmente. Por isso, toda solu&ccedil;&atilde;o &eacute; completamente automatizada, desde a detec&ccedil;&atilde;o at&eacute; as configura&ccedil;&otilde;es de limites. Atualmente, usamos o Chef e o Ansible para a infraestrutura como&nbsp; c&oacute;digo (IaC). Alterar os limites ou outras configura&ccedil;&otilde;es para todas as inst&acirc;ncias de uma vez &eacute; t&atilde;o f&aacute;cil quanto alterar algumas linhas do c&oacute;digo.<\/p><h3 class=\"wp-block-heading\" id=\"h-configuracao-1\"><strong>Configura&ccedil;&atilde;o<\/strong><\/h3><p>Aqui est&aacute; uma pr&eacute;via da nossa configura&ccedil;&atilde;o:<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-4.png\" alt=\"\" class=\"wp-image-925\"><\/figure><\/div><p>Nossa inst&acirc;ncia deve conseguir rotear pacotes entre as interfaces, portanto, o encaminhamento &eacute; habilitado para IPv4 e IPv6. Como n&atilde;o temos nenhuma rota por meio de interfaces utilizadas para desvio de tr&aacute;fego, devemos desativar a filtragem do caminho inverso ou coloc&aacute;-la em &ldquo;modo solto&rdquo; &ndash; como fizemos &ndash; assim, os pacotes que chegam atrav&eacute;s dessas interfaces n&atilde;o s&atilde;o descartados.<\/p><p>Aumentamos o n&uacute;mero m&aacute;ximo de pacotes em um ciclo de pesquisa NAPI (net.core.netdev_budget) para 1000. Como preferimos a taxa de transfer&ecirc;ncia em vez da lat&ecirc;ncia neste caso, definimos nossos buffers para o m&aacute;ximo.&nbsp;<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-5.png\" alt=\"\" class=\"wp-image-926\"><\/figure><\/div><p>Estamos executando esta solu&ccedil;&atilde;o h&aacute; seis meses e podemos ver que estas pequenas mudan&ccedil;as s&atilde;o suficientes para lidar com qualquer ataque das escalas previstas. N&atilde;o nos aprofundamos no ajuste do sistema, pois os valores padr&atilde;o s&atilde;o razo&aacute;veis e n&atilde;o causam nenhum problema.<\/p><p>Em seguida, realizamos a&ccedil;&otilde;es. Uma <strong>a&ccedil;&atilde;o<\/strong> &eacute; acionada quando um ataque &eacute; detectado ou conclu&iacute;do. N&oacute;s a usamos para desviar o tr&aacute;fego (an&uacute;ncio de rota via ExaBGP), informar nossa equipe de monitoramento sobre o ataque (uma mensagem no Slack da inst&acirc;ncia), e outras a&ccedil;&otilde;es.<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-6.png\" alt=\"\" class=\"wp-image-927\"><\/figure><\/div><p>Os <strong>limites <\/strong>tamb&eacute;m s&atilde;o gerenciados como c&oacute;digo, proporcionando in&uacute;meras op&ccedil;&otilde;es para detectar um ataque. Por exemplo, se detectarmos pacotes de 100K UDP por segundo, direcionados a um &uacute;nico alvo, iniciamos o processo de filtragem. Tamb&eacute;m pode ser tr&aacute;fego TCP, solicita&ccedil;&otilde;es HTTP\/HTTPS, e assim por diante.<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-7.png\" alt=\"\" class=\"wp-image-928\"><\/figure><\/div><p>Os prefixos que devem ser protegidos tamb&eacute;m s&atilde;o adicionados automaticamente a partir dos data bags do Chef.<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-8.png\" alt=\"\" class=\"wp-image-929\"><\/figure><\/div><h3 class=\"wp-block-heading\" id=\"h-resultados\"><strong>Resultados<\/strong><\/h3><p>Como &eacute; o tratamento de um ataque DDoS no Grafana? Let&rsquo;s look at a recent attack with <strong>8 Gbps <\/strong>and <strong>1 Mpps <\/strong>of traffic below.<\/p><p>Aqui est&aacute; um tr&aacute;fego de <strong>entrada<\/strong> para filtrar a inst&acirc;ncia:<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-9-1024x374.png\" alt=\"\" class=\"wp-image-930\"><\/figure><\/div><p>E aqui est&aacute; o tr&aacute;fego de <strong>sa&iacute;da<\/strong> para o dispositivo final:<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-10-1024x357.png\" alt=\"\" class=\"wp-image-931\"><\/figure><\/div><p>Pacotes de <strong>entrada<\/strong> por segundo:<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-11-1024x372.png\" alt=\"\" class=\"wp-image-932\"><\/figure><\/div><p>Pacotes de <strong>sa&iacute;da<\/strong> por segundo:<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-12-1024x356.png\" alt=\"\" class=\"wp-image-933\"><\/figure><\/div><p>Como voc&ecirc; pode ver, h&aacute; um pequeno aumento de tr&aacute;fego que vai da inst&acirc;ncia filtrante para o dispositivo final. Ele &eacute; a brecha causada pelo processo de identifica&ccedil;&atilde;o do padr&atilde;o de ataque. &Eacute; um curto per&iacute;odo de tempo, geralmente entre <strong>1 e 10 segundos<\/strong>, mas &eacute; algo que nos exige cautela. Como visto no gr&aacute;fico, assim que o padr&atilde;o de ataque &eacute; identificado, voc&ecirc; est&aacute; seguro!<\/p><p>E quanto &agrave; velocidade da detec&ccedil;&atilde;o de ataques? Esta parte depende de <strong>sFlows <\/strong>e, como sabemos, n&atilde;o &eacute; t&atilde;o r&aacute;pida quanto o espelhamento de porta. Dito isso, ele &eacute; f&aacute;cil de configurar, flex&iacute;vel e custa menos. Quando um ataque come&ccedil;a, o tempo para desviar o tr&aacute;fego para a inst&acirc;ncia do filtro leva entre<strong> 20 e 50 segundos.<\/strong><\/p><p>&Eacute; assim que todo o processo se apresenta a partir da inst&acirc;ncia-alvo:<\/p><p><strong>Tr&aacute;fego<\/strong><\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-13-1024x422.png\" alt=\"\" class=\"wp-image-934\"><\/figure><\/div><p><strong>Pacotes por segundo<\/strong><\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-14-1024x422.png\" alt=\"\" class=\"wp-image-935\"><\/figure><\/div><p>H&aacute; um pequeno pico e estamos de volta &agrave; normalidade, como de costume. Dependendo do servi&ccedil;o que voc&ecirc; estiver executando, voc&ecirc; pode nem perceber o ataque.<\/p><p>Aqui na Hostinger, gostamos de saber o que est&aacute; acontecendo em nossa infraestrutura, portanto, vamos investigar este caso um pouco mais:<\/p><p><strong>Fonte do ataque<\/strong>. Notamos um aumento no tr&aacute;fego IPv4 de alguns pa&iacute;ses, sendo a maioria vinda da &Iacute;ndia e Taiwan. Existe uma grande possibilidade de que esses IPs tenham sido falsificados, desta forma, essas informa&ccedil;&otilde;es podem ser imprecisas. Temos a lista de endere&ccedil;os de origem e ASNs, mas n&atilde;o vamos publicar aqui pelo mesmo motivo (spoofing).<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-15-1024x347.png\" alt=\"\" class=\"wp-image-936\"><\/figure><\/div><p><strong>Protocolo de ataque<\/strong>. Este ataque foi baseado principalmente no UDP, pois n&atilde;o vimos nenhum aumento incomum no gr&aacute;fico TCP.<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-16-1024x416.png\" alt=\"\" class=\"wp-image-937\"><\/figure><\/div><p><strong>Tipo de ataque. <\/strong>Ele uma grande quantidade de tr&aacute;fego para portas UDP aleat&oacute;rias. Alguns deles s&atilde;o vistos no gr&aacute;fico abaixo:<\/p><div class=\"wp-block-image is-style-default\"><figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/www.hostinger.com\/br\/blog\/wp-content\/uploads\/sites\/20\/2022\/07\/image-17-1024x421.png\" alt=\"\" class=\"wp-image-938\"><\/figure><\/div><h2 class=\"wp-block-heading\" id=\"h-conclusao\"><strong>Conclus&atilde;o<\/strong><\/h2><p>O RTBH &eacute; uma prote&ccedil;&atilde;o DDoS eficaz, mas, em determinado momento, causa downtime (inatividade). Ap&oacute;s a implementa&ccedil;&atilde;o da solu&ccedil;&atilde;o de filtragem de tr&aacute;fego em nossa infraestrutura, somente descartamos o tr&aacute;fego malicioso em vez de todos os demais. Notamos que o uso de RTBH diminuiu em<strong> 90-95%<\/strong>, resultando em um melhor uptime (tempo de atividade) para nossos servi&ccedil;os e clientes.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Como Reconhecer um Ataque de Nega&ccedil;&atilde;o de Servi&ccedil;o (DDoS) Para evitar um ataque, &eacute; preciso saber o que est&aacute; por vir. Quando detectamos uma tentativa de interrup&ccedil;&atilde;o da opera&ccedil;&atilde;o regular de um servidor, servi&ccedil;o ou rede-alvo por meio da sobrecarga de tr&aacute;fego indesejado, significa que estamos sob ataque de nega&ccedil;&atilde;o de servi&ccedil;o (ou DDoS). Um [&#8230;]<\/p>\n<p><a class=\"btn btn-secondary understrap-read-more-link\" href=\"\/pt\/tutoriais\/como-a-hostinger-lida-com-ataques-ddos\">Read More&#8230;<\/a><\/p>\n","protected":false},"author":356,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"rank_math_title":"","rank_math_description":"","rank_math_focus_keyword":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-48849","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"hreflangs":[{"locale":"pt-BR","link":"https:\/\/www.hostinger.com\/br\/tutoriais\/como-a-hostinger-lida-com-ataques-ddos","default":1},{"locale":"pt-PT","link":"https:\/\/www.hostinger.com\/pt\/tutoriais\/como-a-hostinger-lida-com-ataques-ddos","default":0}],"acf":[],"_links":{"self":[{"href":"https:\/\/www.hostinger.com\/pt\/tutoriais\/wp-json\/wp\/v2\/posts\/48849","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostinger.com\/pt\/tutoriais\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostinger.com\/pt\/tutoriais\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostinger.com\/pt\/tutoriais\/wp-json\/wp\/v2\/users\/356"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostinger.com\/pt\/tutoriais\/wp-json\/wp\/v2\/comments?post=48849"}],"version-history":[{"count":0,"href":"https:\/\/www.hostinger.com\/pt\/tutoriais\/wp-json\/wp\/v2\/posts\/48849\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.hostinger.com\/pt\/tutoriais\/wp-json\/wp\/v2\/media?parent=48849"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostinger.com\/pt\/tutoriais\/wp-json\/wp\/v2\/categories?post=48849"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostinger.com\/pt\/tutoriais\/wp-json\/wp\/v2\/tags?post=48849"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}