DDoS: Como Proteger Seu Provedor de Ataques

Tecnico 23 Mar 2026 6 min de leitura
DDoS: Como Proteger Seu Provedor de Ataques

DDoS: Como Proteger Seu Provedor de Ataques

Todo provedor de internet no Brasil vai sofrer ataques DDoS — nao e questao de "se", e questao de "quando". Um ataque de 10 Gbps pode saturar completamente o link de um provedor pequeno, derrubando todos os assinantes. Ate provedores grandes com links de 100G enfrentam ataques volumetricos que chegam a centenas de Gbps.

Neste guia, vamos cobrir deteccao, mitigacao e prevencao de DDoS especificamente para a realidade de ISPs brasileiros.

Tipos de ataque DDoS

1. Ataques volumetricos

Objetivo: saturar a capacidade de banda do provedor.

  • UDP Flood: pacotes UDP massivos para portas aleatorias
  • DNS Amplification: consultas DNS com IP spoofado do alvo, respostas amplificadas ate 50x
  • NTP Amplification: comando monlist do NTP, amplificacao de ate 556x
  • Memcached Amplification: amplificacao de ate 51.000x

Volume tipico: 10 Gbps a 500+ Gbps. Qualquer ataque acima da capacidade do seu link de transito so pode ser mitigado upstream.

2. Ataques de protocolo

Objetivo: exaurir recursos de equipamentos (firewall, BRAS, load balancer).

  • SYN Flood: milhoes de pacotes SYN sem completar handshake
  • ACK Flood: pacotes ACK invalidos
  • GRE Flood: pacotes GRE encapsulados

Volume tipico: 1-50 Gbps, mas o impacto e na CPU/memoria dos equipamentos.

3. Ataques de aplicacao (Layer 7)

Objetivo: derrubar servicos especificos.

  • HTTP Flood: requisicoes HTTP legitimas em massa
  • Slowloris: conexoes HTTP mantidas abertas lentamente
  • DNS Query Flood: consultas DNS validas em massa

Volume tipico: baixo (poucos Mbps), mas devastador para o servico alvo.

Deteccao: como saber que esta sob ataque

FastNetMon — deteccao em tempo real

O FastNetMon e a ferramenta mais usada por ISPs para deteccao automatica de DDoS via analise de NetFlow/sFlow/IPFIX.

# Instalacao FastNetMon Community no Debian/Ubuntu
wget https://install.fastnetmon.com/installer -O /tmp/installer
sudo bash /tmp/installer

# Configuracao basica - /etc/fastnetmon.conf
interfaces = eth0
netflow = on
netflow_port = 2055

# Redes do provedor para monitorar
networks_list_path = /etc/networks_list

# Thresholds de deteccao
ban_for_pps = on
threshold_pps = 100000

ban_for_bandwidth = on
threshold_mbps = 5000

ban_for_flows = on
threshold_flows = 50000

# Acao ao detectar ataque
enable_ban_ipv4 = on
ban_time = 1800

# Script de mitigacao executado automaticamente
notify_script_path = /opt/fastnetmon/scripts/mitigate.sh
# /etc/networks_list - redes do provedor
200.100.50.0/22
100.64.0.0/10
2001:db8::/32

Analise de fluxo com NetFlow

Configure seu roteador de borda para exportar NetFlow para o FastNetMon:

# MikroTik - exportar NetFlow
/ip traffic-flow
set enabled=yes interfaces=ether1-wan
set cache-entries=256k active-flow-timeout=1m
/ip traffic-flow target
add dst-address=172.20.1.242 port=2055 version=9
# Huawei NE8000 - exportar NetStream
ip netstream sampler fix-packets 1000 inbound
ip netstream sampler fix-packets 1000 outbound
ip netstream export version 9
ip netstream export host 172.20.1.242 2055
ip netstream export template timeout-rate 60

Resolva isso automaticamente com NATVault

Teste gratis por 14 dias. Sem cartao de credito.

Comecar teste gratis

Mitigacao: como reagir ao ataque

1. Blackhole BGP (RTBH)

A forma mais rapida e eficiente de mitigar um ataque volumetrico. Voce anuncia o IP atacado com community de blackhole para seu transito, que descarta o trafego na entrada da rede dele.

# MikroTik - anunciar blackhole BGP
/routing filter
add chain=blackhole-out set-bgp-communities=65000:666 set-type=blackhole

# Para ativar blackhole de um IP especifico:
/ip route add dst-address=200.100.50.15/32 type=blackhole
/routing bgp advertisement
# O IP sera anunciado com community de blackhole para o transito

Limitacao: o IP atacado fica completamente inacessivel. Se for o IP de um cliente importante, ele fica offline. E eficaz para proteger o restante da rede.

2. BGP Flowspec

Evolucao do blackhole — permite filtrar trafego especifico sem derrubar o IP inteiro. Requer suporte do seu provedor de transito.

# Exemplo Flowspec: bloquear UDP flood na porta 53 para um IP
# (sintaxe varia por equipamento)
flow {
  match destination 200.100.50.15/32;
  match protocol udp;
  match destination-port 53;
  then discard;
}

3. Scrubbing center (limpeza de trafego)

O trafego e redirecionado para um centro de limpeza que filtra o ataque e devolve apenas trafego legitimo. Opcoes para ISPs brasileiros:

ServicoTipoCapacidadePreco estimado
Cloudflare Magic TransitCloud200+ TbpsA partir de US$ 5.000/mes
Huge NetworksCloud (BR)10+ TbpsA partir de R$ 2.000/mes
UPX TechnologiesCloud (BR)5+ TbpsA partir de R$ 1.500/mes
NTT/GTT (transito clean)In-lineVariavelIncluso no transito premium
Solucao propria (Wanguard)On-premiseAte 100 GbpsR$ 50.000+ (licenca + HW)

4. Script automatico de mitigacao

#!/bin/bash
# /opt/fastnetmon/scripts/mitigate.sh
# Chamado automaticamente pelo FastNetMon

IP=$1
DIRECTION=$2  # incoming ou outgoing
ATTACK_DETAILS=$3

if [ "$DIRECTION" == "incoming" ]; then
    # Log do ataque
    echo "$(date) DDoS detectado: $IP - $ATTACK_DETAILS" >> /var/log/ddos-attacks.log
    
    # Anunciar blackhole via ExaBGP ou API MikroTik
    curl -s -u admin:senha "http://172.20.1.105/rest/ip/route" \
      -d '{"dst-address":"'$IP'/32","type":"blackhole","comment":"DDoS-auto-'$(date +%Y%m%d-%H%M)'"}'
    
    # Notificar NOC via Telegram
    TELEGRAM_TOKEN="seu-token"
    CHAT_ID="-100xxxxxxxx"
    curl -s "https://api.telegram.org/bot$TELEGRAM_TOKEN/sendMessage" \
      -d chat_id=$CHAT_ID \
      -d text="⚠️ DDoS detectado!%0AIP: $IP%0ADetalhes: $ATTACK_DETAILS%0AAcao: Blackhole ativado"
fi

Prevencao: reduzindo a superficie de ataque

Filtros anti-spoofing (BCP38/uRPF)

# MikroTik - uRPF nos clientes
/ip settings set rp-filter=strict

# Ou firewall filter mais granular
/ip firewall filter
add chain=forward in-interface=ether-clientes \
    src-address-list=!clientes-validos action=drop comment="BCP38 anti-spoof"

Rate limiting de protocolos criticos

# MikroTik - limitar DNS, NTP, SSDP no input
/ip firewall filter
add chain=input protocol=udp dst-port=53 limit=50,5:packet action=accept
add chain=input protocol=udp dst-port=53 action=drop comment="DNS rate limit"
add chain=input protocol=udp dst-port=123 limit=20,5:packet action=accept
add chain=input protocol=udp dst-port=123 action=drop comment="NTP rate limit"
add chain=input protocol=udp dst-port=1900 action=drop comment="Block SSDP"

Desabilitar amplificadores

  • Desabilitar DNS recursivo aberto em todos os equipamentos
  • Desabilitar NTP monlist: disable monitor no ntp.conf
  • Bloquear SSDP (porta 1900 UDP) na borda
  • Bloquear Memcached externo (porta 11211)

Runbook de resposta a DDoS

  1. Detectar (automatico via FastNetMon) — tempo: 30 segundos
  2. Classificar: volumetrico? Protocolo? Layer 7? Qual IP alvo?
  3. Mitigar imediato: blackhole BGP se volumetrico, firewall rules se protocolo
  4. Comunicar: avisar NOC e, se necessario, clientes afetados
  5. Analisar: identificar origem, tipo, vetor de ataque
  6. Escalar: se ataque supera capacidade local, ativar scrubbing
  7. Restaurar: remover blackhole/filtros quando ataque cessar
  8. Documentar: registrar incidente completo para analise futura

Resolva isso automaticamente com NATVault

Teste gratis por 14 dias. Sem cartao de credito.

Comecar teste gratis

Perguntas Frequentes

Qual o custo de um ataque DDoS para um provedor?

Depende da duracao e do impacto. Um ataque de 1 hora que derruba todos os assinantes pode custar de R$ 5.000 a R$ 50.000 em perda de receita, SLA penalties e reputacao. Ataques recorrentes podem causar churn significativo de clientes.

FastNetMon Community ou Advanced?

O Community e gratuito e suficiente para deteccao basica com blackhole. O Advanced (pago, ~US$ 200/mes) adiciona Flowspec, dashboard web, analise historica e suporte. Para provedores acima de 5.000 assinantes, o Advanced se paga rapidamente.

Meu transito oferece protecao DDoS gratis?

Muitos provedores de transito no Brasil oferecem blackhole community gratis (geralmente community :666). Porem, protecao com scrubbing (limpeza sem derrubar o IP) geralmente e paga. Verifique com seu transito quais communities sao aceitas e se ha servico de clean pipe disponivel.

Preciso de protecao DDoS mesmo sendo um provedor pequeno?

Sim. Provedores pequenos sao alvos frequentes justamente porque tem menos protecao. Um adolescente com R$ 50 consegue contratar um booter capaz de gerar 10 Gbps — suficiente para derrubar qualquer provedor sem protecao. O investimento minimo (FastNetMon + blackhole BGP) e essencial.

Leia tambem

Teste NATVault gratis por 14 dias

Armazene e consulte logs CGNAT com VictoriaLogs. Compliance Marco Civil em minutos.

Solicitar Demo Gratuita
Compartilhar:
N

NATVault

Conteudo sobre compliance, logs CGNAT e operacao de provedores de internet.

← Voltar ao Blog

Artigos relacionados

Tecnico

Como Escolher uma OLT para FTTH no Seu Provedor

23 Mar 2026
Tecnico

RADIUS e FreeRADIUS para Provedores: Guia Completo

23 Mar 2026
Tecnico

Como Escolher um BRAS para Seu Provedor

23 Mar 2026

Pronto para garantir compliance?

NATVault armazena e consulta logs CGNAT com VictoriaLogs. Setup em minutos, nao semanas.

Comecar Teste Gratuito