Guia Definitivo: Protegendo Servidor Linux de Ataques DDoS

12 min de leitura  ·  Guia técnico

Para proteger seu servidor Linux contra ataques DDoS, siga estas etapas: implemente firewalls especializados, utilize CDN com proteção DDoS, e configure monitoramento proativo. Configure iptables para limitar conexões suspeitas e use Fail2Ban para bloquear automaticamente IPs maliciosos. Essas medidas ajudam a mitigar os efeitos de ataques e manter a disponibilidade do serviço.

Pré-requisitos

• Acesso root ao servidor Linux (Ubuntu 22.04 LTS ou CentOS 8)
• Conhecimento básico de comandos Linux e configuração de firewall
• Ferramentas de monitoramento instaladas (htop, iftop, netstat)
• Backup recente das configurações do servidor
• Acesso ao painel de controle do provedor de hospedagem

Como funcionam os ataques DDoS e seus tipos principais

Os ataques DDoS exploram vulnerabilidades na arquitetura de rede para esgotar recursos do servidor alvo. Existem três categorias principais que você precisa conhecer para implementar proteções adequadas.

Ataques volumétricos focam em consumir toda a largura de banda disponível. O atacante utiliza botnets para enviar grandes volumes de tráfego UDP ou ICMP, saturando a conexão de rede. Estes ataques são medidos em gigabits por segundo (Gbps) e podem facilmente sobrecarregar conexões residenciais ou empresariais menores.

Ataques de protocolo exploram fraquezas nos protocolos de rede para esgotar recursos do servidor ou equipamentos intermediários. O SYN flood é o exemplo mais comum, onde o atacante envia milhares de solicitações TCP SYN sem completar o handshake, esgotando a tabela de conexões do servidor.

Ataques de camada de aplicação são mais sofisticados e difíceis de detectar. Eles simulam tráfego legítimo mas fazem solicitações que consomem muitos recursos, como consultas complexas ao banco de dados ou requisições para páginas que demandam processamento intensivo.

Identificando sinais de ataque DDoS no seu servidor

O reconhecimento precoce de um ataque DDoS é fundamental para minimizar danos. Monitore constantemente estes indicadores críticos que revelam atividade suspeita no seu servidor.

Verifique o uso de recursos do sistema com o comando htop:

htop

Durante um ataque, você observará CPU constantemente acima de 80%, memória RAM esgotada e load average superior a 10. O número de processos Apache ou Nginx também estará anormalmente alto.

Analise as conexões ativas para identificar padrões suspeitos:

netstat -an | grep :80 | wc -l

Um servidor web típico mantém entre 50-200 conexões simultâneas. Durante um ataque DDoS, este número pode ultrapassar 1000 conexões, muitas originadas de IPs similares ou geograficamente concentrados.

Monitore o tráfego de rede em tempo real:

iftop -i eth0

Procure por picos súbitos de tráfego de entrada, especialmente de múltiplos IPs enviando grandes volumes de dados simultaneamente. Tráfego legítimo geralmente apresenta padrões mais distribuídos e variados.

Examine os logs do servidor web para identificar padrões de ataque:

tail -f /var/log/apache2/access.log | grep -E "GET|POST"

Ataques DDoS frequentemente geram logs com timestamps muito próximos, User-Agents idênticos ou requisições para URLs específicas em alta frequência.

Implementando proteção básica com iptables

O iptables oferece a primeira linha de defesa contra ataques DDoS através de regras de filtragem que limitam conexões suspeitas. Configure estas proteções essenciais para reduzir significativamente o impacto de ataques básicos.

Limite conexões simultâneas por IP para prevenir flood de conexões:

iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j REJECT

Esta regra bloqueia IPs que tentam estabelecer mais de 20 conexões simultâneas na porta 80. Ajuste o valor conforme o perfil de tráfego do seu site.

Implemente rate limiting para controlar a frequência de novas conexões:

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

Permite até 100 conexões iniciais, depois limita a 25 novas conexões por minuto. Isso previne ataques que tentam esgotar recursos através de reconexões rápidas.

Proteja contra ataques SYN flood configurando proteção específica:

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

Estas regras limitam pacotes SYN a 1 por segundo após um burst inicial de 3, bloqueando tentativas de SYN flood.

Salve as regras para persistir após reinicializações:

iptables-save > /etc/iptables/rules.v4

No Ubuntu, instale o pacote iptables-persistent para carregar automaticamente as regras na inicialização do sistema.

Configurando Fail2Ban para proteção automatizada

O Fail2Ban monitora logs em tempo real e bloqueia automaticamente IPs que demonstram comportamento malicioso. Esta ferramenta é essencial para proteção contínua contra ataques DDoS de baixa intensidade.

Instale o Fail2Ban no Ubuntu:

apt update && apt install fail2ban -y

Crie um arquivo de configuração personalizado para evitar sobrescrever configurações durante atualizações:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Configure proteção específica para Apache editando o arquivo jail.local:

[apache-dos]
enabled = true
port = http,https
filter = apache-dos
logpath = /var/log/apache2/access.log
maxretry = 300
findtime = 300
bantime = 600
action = iptables[name=HTTP, port=http, protocol=tcp]

Esta configuração bloqueia IPs que fazem mais de 300 requisições em 5 minutos, mantendo o bloqueio por 10 minutos.

Crie o filtro correspondente em /etc/fail2ban/filter.d/apache-dos.conf:

[Definition]
failregex = ^<HOST> -.*"(GET|POST).*
ignoreregex =

Reinicie o serviço para aplicar as configurações:

systemctl restart fail2ban
systemctl enable fail2ban

Verifique o status e IPs bloqueados:

fail2ban-client status apache-dos

Otimizando configurações do servidor web

Ajustes nas configurações do Apache ou Nginx aumentam significativamente a resistência do servidor contra ataques DDoS. Estas otimizações reduzem o consumo de recursos por conexão e melhoram o tempo de resposta.

Para Apache, edite o arquivo /etc/apache2/apache2.conf e configure limites de conexão:

Timeout 30
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 5
ServerLimit 16
MaxRequestWorkers 400
ThreadsPerChild 25

Estes valores reduzem o tempo de timeout e limitam recursos por conexão, liberando capacidade para atender mais usuários legítimos durante ataques.

Ative o módulo mod_security para filtragem adicional:

a2enmod security2
systemctl restart apache2

Para Nginx, otimize o arquivo /etc/nginx/nginx.conf:

worker_processes auto;
worker_connections 1024;
keepalive_timeout 15;
client_body_timeout 12;
client_header_timeout 12;
send_timeout 10;
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn addr 15;

Configure rate limiting específico no bloco server:

limit_req_zone $binary_remote_addr zone=login:10m rate=1r/s;
limit_req zone=login burst=5;

Teste a configuração e recarregue:

nginx -t && systemctl reload nginx

Implementando monitoramento proativo

O monitoramento contínuo permite detectar ataques DDoS nos estágios iniciais e acionar contramedidas automaticamente. Configure alertas inteligentes que distinguem tráfego legítimo de atividade maliciosa.

Instale ferramentas de monitoramento essenciais:

apt install vnstat iotop nethogs -y

Configure o vnstat para rastrear uso de banda histórico:

vnstat -u -i eth0
systemctl enable vnstat

Crie um script de monitoramento automático em /usr/local/bin/ddos-monitor.sh:

#!/bin/bash
CONNECTIONS=$(netstat -an | grep :80 | wc -l)
LOAD=$(uptime | awk '{print $10}' | cut -d',' -f1)

if [ $CONNECTIONS -gt 500 ] || [ $(echo "$LOAD > 5.0" | bc) -eq 1 ]; then
    echo "$(date): Possível ataque DDoS detectado - Conexões: $CONNECTIONS, Load: $LOAD" >> /var/log/ddos-alerts.log
    # Enviar alerta por email ou webhook
fi

Torne o script executável e configure execução a cada minuto:

chmod +x /usr/local/bin/ddos-monitor.sh
echo "* * * * * /usr/local/bin/ddos-monitor.sh" | crontab -

Configure alertas por email instalando o mailutils:

apt install mailutils -y

Para monitoramento avançado, considere ferramentas como Dicas de Otimização de Servidores Linux que incluem configurações de monitoramento específicas para diferentes cenários de carga.

Problemas comuns e como resolver

Servidor lento mas sem sinais óbvios de ataque

Causa: Ataques de camada de aplicação que simulam tráfego legítimo ou problemas de configuração do servidor.
Solução: Analise logs detalhadamente procurando por padrões repetitivos, verifique consultas SQL lentas no banco de dados e monitore uso de CPU por processo específico com htop.

Iptables não está bloqueando conexões suspeitas

Causa: Regras mal configuradas, ordem incorreta das regras ou iptables não persistindo após reinicialização.
Solução: Verifique a ordem das regras com iptables -L -n, certifique-se que regras de bloqueio vêm antes de regras de aceitação, e instale iptables-persistent para manter configurações.

Fail2Ban não está detectando ataques

Causa: Filtros regex incorretos, caminhos de log errados ou formato de log não compatível.
Solução: Teste regex manualmente com fail2ban-regex, verifique se os arquivos de log existem e têm permissões corretas, e ajuste filtros conforme formato específico dos seus logs.

Perguntas frequentes sobre DDoS

Qual a diferença entre DoS e DDoS?

DoS (Denial of Service) usa apenas uma máquina para atacar, enquanto DDoS (Distributed Denial of Service) utiliza múltiplas máquinas distribuídas geograficamente. O DDoS é mais poderoso e difícil de bloquear porque o tráfego vem de várias fontes simultaneamente.

Como identificar se meu servidor está sofrendo um ataque DDoS?

Os principais sinais incluem lentidão extrema no site, timeouts de conexão, uso anormal de banda e CPU alta no servidor. Você pode verificar através de logs do Apache/Nginx, monitoramento de tráfego e ferramentas como htop para processos.

Firewall comum protege contra DDoS?

Firewalls tradicionais oferecem proteção limitada contra DDoS, especialmente ataques volumétricos. Eles podem bloquear IPs específicos, mas não conseguem filtrar grandes volumes de tráfego distribuído. É necessário usar soluções especializadas como CDN com proteção DDoS.

Quanto tempo dura um ataque DDoS típico?

A duração varia drasticamente: ataques automatizados podem durar minutos ou horas, enquanto ataques direcionados podem persistir por dias. A maioria dos ataques dura entre 30 minutos e 6 horas, mas alguns casos documentados se estenderam por semanas.

É possível prevenir completamente ataques DDoS?

Não é possível prevenir 100% dos ataques DDoS, mas é possível mitigar significativamente seus efeitos. Combinando CDN, rate limiting, firewalls especializados e monitoramento proativo, você pode reduzir o impacto e manter a disponibilidade do serviço mesmo durante ataques.

Conclusão

• Implemente múltiplas camadas de proteção combinando iptables, Fail2Ban e otimizações do servidor web para máxima eficácia
• Configure monitoramento proativo com alertas automáticos para detectar ataques nos estágios iniciais
• Mantenha backups atualizados das configurações e teste regularmente os procedimentos de resposta a incidentes

Precisa de proteção profissional contra DDoS?

A AviraHost oferece servidores VPS com proteção DDoS integrada e monitoramento 24/7. Nossa infraestrutura inclui filtragem de tráfego em tempo real e sistemas de mitigação automática para manter seus serviços sempre disponíveis.

Conheça nossos planos de VPS com proteção DDoS