Os ataques de negação de serviço (DoS) não são novidade – de acordo com a Britannica, o primeiro caso documentado data do início de 2000. Apesar de ter sido o primeiro a ser um doozie, a Amazon e o eBay foram postos de joelhos, resultando em prejuízos estimados em 1,7 bilhões de dólares.

Hoje os ataques DoS só se tornaram muito mais sofisticados, seu potencial para causar danos tem sido multiplicado muitas vezes, já que múltiplas redes podem ser utilizadas para criar ataques distribuídos chamados de ataques DDoS. Felizmente, a proteção que temos contra essas tentativas de derrubar nossos sites também se tornou muito mais potente, mas será que as hospedagens podem realmente lidar com isso? A resposta não é assim tão simples.

O que é um Ataque DDoS

Para termos a certeza de que estamos na mesma página, vamos passar pelo que é a negação de serviço, o básico é bastante simples – apesar de existirem alguns subtipos. O simples objetivo destes ataques é sobrecarregar o seu servidor com tráfego.

É tudo o que há para dizer. Se você tivesse 10.000 amigos no Facebook e pedisse a todos eles para visitar um site tantas vezes quanto possível em um momento específico, você seria responsável por uma rudimentar tentativa de ataque de negação de serviço. Tudo o que muda entre diferentes tipos de DoS é a tecnologia utilizada e as partes da infra-estrutura da rede visada.

Se um router de rede tiver uma porta de 10Gbps (permitindo 10Gb por segundo) e um ataque enviar 11Gbps de tráfego à sua maneira, o seu website irá parar e desistir.

Há um lado negativo e um lado positivo neste método. O lado positivo é que não há nenhuma ameaça real à segurança presente. Ninguém está a tentar roubar as suas palavras-passe, dados de clientes ou base de dados de hackers. Um DDoS normalmente dura alguns dias no exterior, após o qual tudo volta ao normal.

Lamentavelmente, este também é o lado negativo. Como nada está sendo hackeado ativamente, todos os componentes do servidor estão sendo usados para o objetivo pretendido (empurrando dados para frente e para trás), é excruciantemente difícil contornar os ataques.

Proteger contra ataques DDoS

Na verdade, a única maneira de contorná-los é participar de uma corrida armamentista. Se uma rede pode jogar mais recursos atrás de um site do que o atacante, o site fica para cima – caso contrário, ele vai para baixo.

Não há como você ter sucesso se tiver uma pequena caixa de servidor em casa em algum lugar. Mesmo com a tecnologia mais rápida disponível, o número de atacantes de dados que podem atirar em você usando amplificação de DNS, spoofing de IP e uma rede de recursos distribuída irá ultrapassar em muito o que você tem.

O maior problema é que até as hospedagens têm problemas na área de recursos. A única maneira de proteger um site específico (ou IP) é colocar uma camada adicional entre o atacante e o seu site. A única forma da camada ser eficaz se ela própria for distribuída por uma grande rede.

A ideia é que a camada distribui o ataque no seu site por toda a rede. Isto é um pouco como a segurança social funciona em teoria. Dar cuidados de saúde a todos é caro. No entanto, nem todos precisam disso o tempo todo. Desde que todos paguem uma pequena quantia, aqueles que realmente precisam de tratamento devem ser capazes de obtê-lo gratuitamente.

Isto é bastante exato à medida que as analogias vão sendo feitas. Se uma família inteira for ferida em um acidente de carro, eles podem precisar de 300.000 dólares de cuidados médicos. No entanto, a base da segurança social é tão grande (constituída por milhões de pessoas) que isto pode ser espalhado. Se todos os beneficiários tivessem que realmente pagar por este custo, seria algo como $0.006 por pessoa, que eu pagaria com prazer para salvar uma família inteira.

Por outro lado, se os beneficiários fossem apenas 100 pessoas, cada pessoa teria de pagar $3.000, o que é uma quantia enorme, especialmente tendo em conta que não é você que está a receber tratamento. É por isso que as pequenas empresas não conseguem lidar com os ataques DDoS por conta própria.

As hospedagens estão a mentir?

Sim e não. Eles estão dobrando a verdade, ou pelo menos não estão explicando o quadro inteiro e como esses mecanismos funcionam. Por exemplo, existe um ataque DoS com o apelido SMURF. Os ataques de Smurf podem ser potentes, mas um componente é falsificar o endereço IP do ataque para corresponder às vítimas.

Isto é muito fácil de proteger, uma vez que você pode desativar a retransmissão de pedidos enviados para o endereço de transmissão de uma rede. Como esta é uma medida de proteção DDoS você pode alegar proteção contra você pode apenas dizer que em casos de grandes ataques a proteção não é garantida.

Como eu já disse antes, a única maneira de você ter alguma chance é usar uma rede enorme que pode incorrer em custos adicionais. O Cloudflare é um exemplo de uma empresa que tem uma mega-rede e oferece proteção DDoS avançada em seu plano de 200 dólares/mês. Outra alternativa popular entre os usuários do WordPress seria Sucuri, que oferece proteção DDoS a partir de $20/mês.

À luz disto, é extremamente improvável que o seu serviço partilhado de $5/mês ou mesmo o seu VPS de $99/mês ofereça qualquer proteção DDoS extensiva que contrarie os ataques de amplificação de camada 7 ou DNS, que estão entre os mais eficazes.

A razão pela qual você pode estar bastante confiante de que uma boa proteção lhe custará é que no momento você não pode se defender de muitos tipos de ataques DDoS com software. Não é uma questão de ser mais inteligente do que atacantes e escrever algum código de firewall genial que pode parar o tráfego DDoS em seus rastros. Trata-se mais de deixar entrar o tráfego adequado.

Dito isto, os hosts podem fazer muito para proteger contra aqueles tipos de DDoS que podem ser parados com software, eles podem trabalhar em conjunto com empresas de segurança, ajudar redes distribuídas com dados e muito mais.

Assim como você não anda por aí com um cartão de crédito que tem um código PIN 1234, embora seja raro o seu cartão ser roubado, as empresas de hospedagem podem estar (e normalmente estão) vigilantes quanto à segurança básica. O fato é que a proteção contra ataques grandes e coordenados está simplesmente fora do âmbito da sua rede.

O que você deve fazer?

O que você deve fazer depende do quanto você confia no seu site para ganhar dinheiro real. Os ataques DDoS não são perigosos do ponto de vista da segurança, o pior cenário é que o seu site ficará offline por alguns dias.

Se isto é uma dor de cabeça e uma inconveniência, mas não o fim do mundo, acho que não há problema em fazer vista grossa. Caso ainda não o tenha feito, recomendo a Hospedagem gerenciada de WordPress. Não há como você estar protegido com uma conta de hospedagem compartilhada e muitas empresas de alta qualidade oferecem soluções VPS baratas. E tentar ser um administrador de sistema para poupar 20 dólares/mês é uma má ideia e pode rapidamente transformar-se num pesadelo.

Uma hospedagem como Kinsta não será capaz de proteger diretamente de todos os ataques DDoS, mas se defenderá mais do que uma hospedagem de baixa qualidade. Sua plataforma de hospedagem segura também apresenta os seguintes recursos:

  • Monitorar o tempo de funcionamento, verificando o status de todos os sites a cada 2 minutos. Isso se traduz em 720 cheques para cada site todos os dias.
  • Tem restrições baseadas em tight-software e impede proativamente que códigos maliciosos entrem na rede.
  • Pode detectar ataques DDoS à medida que acontecem.
  • Proibir automaticamente IPs que tenham mais de 6 tentativas de login falhadas em um minuto.
  • Suporta apenas conexões SFTP e SSH criptografadas (sem FTP).
  • Apoiar o bloqueio GeoIP para restringir o acesso a partir de diferentes localizações geográficas.

Além disso, todas as hospedagens de alta qualidade estão pesquisando ativamente este tópico – estar na vanguarda da proteção DDoS irá garantir que você obtenha a melhor proteção possível para seu dinheiro.

Um host de baixa qualidade muito provavelmente o “protegerá” desligando seus servidores ou banindo-o completamente do serviço. Eles não têm recursos para fazer mais nada e como podem ter milhares de sites no mesmo servidor, seu site pode ser desligado, mesmo que não tenha sido o alvo pretendido.

Hospedagens como Kinsta fazem tudo ao seu alcance para colocar um serviço especializado como Cloudflare ou Sucuri em frente ao seu site, colocá-lo em um IP diferente, e outros métodos que ajudam a facilitar o ataque.

Se o seu site é o seu principal gerador de dinheiro, ou se você tem um negócio secundário sazonal no qual você confia, pode valer a pena investir em proteção DDoS decente durante todo o ano ou apenas para o(s) mês(es) sazonal(ais). Neste momento parece que a melhor proteção contra o DDoS é o Cloudflare e o Sucuri.

Cloudflare

Com o plano Pro do Cloudflare a $20/mês você só recebe Proteção Avançada DDoS nas Camadas 3 e 4 (leia mais sobre os ataques DDoS das Camadas 3 e 4). Isto ajudará a parar automaticamente os ataques TCP SYN, UDP e ICMP nos seus servidores de ponta, para que nunca cheguem ao seu servidor de origem. Para obter proteção de camada 7 você tem que atualizar para o plano de $200/mês. Se você acha que tem uma boa chance de ser alvo e/ou tem um site que faz dinheiro, provavelmente vale a pena o investimento.

Cloudflare

Sucuri

Com o plano Sucuri de $20/mês, você obtém Proteção Avançada DDoS nas camadas 3 e 4, juntamente com a camada 7. Isto ajuda a detetar automaticamente alterações súbitas no tráfego e protege contra inundações POST e ataques baseados no DNS, para que nunca cheguem ao seu servidor de origem.

Um ataque de flood HTTP é um tipo de ataque de aplicativo de Camada 7 que utiliza o padrão válido de pedidos GET/POST usados para buscar informações, como em recuperações típicas de dados de URL (imagens, informações, etc.) durante sessões SSL. Uma inundação HTTP GET/POST é um ataque volumétrico que não utiliza pacotes mal formados, técnicas de spoofing ou reflexão. – Sucuri

Sucuri DDoS

Resumo

O DDoS é irritante porque é simplesmente inútil. Nenhum dado é roubado, nada se ganha do ponto de vista do atacante. A única razão pela qual alguém faria um ataque DDoS é alguém pagando para fazer isso para atrapalhar um concorrente, por exemplo. Um ataque eficaz de DDoS requer investimento em recursos, caso contrário, ele saltaria por cima de simples medidas de proteção.

Os ataques DDoS são irritantes porque são simplesmente inúteis. Ou são? 🤔 Click to Tweet

A proteção DDoS ainda está na sua infância, com o passar do tempo ela vai ficar cada vez melhor, mas os atacantes vão se tornar mais eficientes também. A pesquisa nesta área da internet é cara, assim como a proteção que pode ser oferecida.

Como resultado, as hospedagens podem não estar mentindo quando prometem proteção DDoS, mas eles estão dobrando a verdade com força. Frases como “isto não garante que podemos evitar todos os ataques DDoS” nem sequer começam a descrever a facilidade com que uma rede pode falhar em caso de ataque.

No mínimo, seja cético e pergunte a sua hospedagem exatamente o que ele oferece e como ele irá protegê-lo contra ataques em larga escala, caso eles aconteçam.

Mais Leituras:

Se você tem alguma experiência com ataques DDoS ou proteção contra eles, por favor, compartilhe suas idéias na seção de comentários abaixo!


Se você gostou deste artigo, então você vai adorar a plataforma de hospedagem WordPress da Kinsta. Turbine seu site e obtenha suporte 24/7 de nossa experiente equipe de WordPress. Nossa infraestrutura baseada no Google Cloud se concentra em escalabilidade automática, desempenho e segurança. Deixe-nos mostrar-lhe a diferença Kinsta! Confira nossos planos