Todos os sistemas operacionais Amsterdã · Paris · Reykjavík +5 Pagar com Criptomoeda
EnglishРусский简体中文EspañolDeutschفارسیTürkçePortuguêsTiếng ViệtBahasa Indonesia
Glossário

O que é proteção DDoS?

Proteção DDoS é infraestrutura que detecta ataques de inundação e filtra o tráfego hostil upstream, de modo que seu servidor continua respondendo às requisições legítimas enquanto o ataque é absorvido por um filtro.

Atualizado em 2026-06-12

Criar VPS Ver preços
Fenrir o lobo posicionado atrás de um escudo

Um ataque distribuído de negação de serviço (DDoS) não invade nada. Simplesmente envia tanto tráfego — de milhares de dispositivos comprometidos de uma vez — que o link, a pilha de rede ou a aplicação afoga, e usuários legítimos não conseguem mais passar. Ataques são baratos de alugar por hora, razão pela qual atingem servidores de jogos por rivalidades, empresas por pedidos de resgate e sites controversos mas legais por discordância. Proteção DDoS é a contra-infraestrutura: detecção que reconhece uma inundação em segundos e capacidade de filtragem grande o suficiente para absorvê-la enquanto encaminha o tráfego real. Em um VPS, você não pode adicionar isso por conta própria — quando os pacotes chegam ao seu NIC virtual, a batalha está upstream e já está perdida. Tem que ser uma propriedade da rede do host, razão pela qual pertence à ficha técnica ao lado de CPU e disco.

As três camadas de ataque

  • Volumétrico (inundações L3/L4). Saturação de largura de banda bruta: inundações UDP, amplificação DNS/NTP, os clássicos de botnet estilo Mirai. Medido em gigabits — ataques modernos rotineiramente excedem 100 Gbps, muito além do uplink de qualquer servidor único. Apenas capacidade de filtragem upstream responde a isso.
  • Ataques de protocolo. Esgotamento do estado de conexão em vez de largura de banda: inundações SYN, truques de pacotes fragmentados, esgotamento da tabela de conexão. Menor em volume, mais letal por pacote; filtrado por inspeção stateful na borda.
  • Camada de aplicação (L7). Inundações de requisições HTTP de aparência legítima direcionadas a endpoints caros — páginas de busca, formulários de login, chamadas de API. Mais difícil de filtrar genericamente porque cada requisição parece um usuário real; mitigado por limitação de taxa, desafios e cache na borda da aplicação.

Uma pilha de proteção real aborda todas as três; “protegido contra DDoS” que significa apenas uma ACL de roteador não aborda nenhuma.

Como a mitigação realmente funciona

O pipeline é detecção → desvio → filtragem → reinjeção. Telemetria de fluxo (NetFlow/sFlow) monitora cada IP de cliente em busca de anomalias — uma linha de base de tráfego subitamente multiplicada, um mix de protocolo que corresponde a uma assinatura de ataque conhecida. Em segundos, o prefixo alvo é desviado para capacidade de filtragem: hardware de filtragem que descarta fontes falsificadas, limita fluxos por taxa, valida o comportamento do protocolo e passa o que resta. O tráfego limpo re-entra na rede em direção ao seu servidor, que em sua maioria não percebe nada. Os dois números que importam são tempo até mitigação (segundos vs minutos decide se jogadores/usuários notam alguma coisa) e folga de filtragem (um filtro de 10 Gbps enfrentando uma inundação de 400 Gbps é decoração). “Always-on” significa que o tráfego é analisado permanentemente inline em vez de ser desviado apenas após danos; para cargas de trabalho propensas a ataques essa diferença é o produto.

O que a “proteção DDoS gratuita” cobre — e o que não pode

A proteção incluída (incluindo a nossa) cobre as camadas de rede: absorção volumétrica e filtragem de protocolo em escala de múltiplos centenas de gigabits, always-on, sem custo extra, em todos os locais. O que nenhum filtro em nível de rede pode cobrir completamente é a eficiência do seu próprio aplicativo: se uma única requisição HTTP barata faz seu app executar uma consulta de banco de dados de cinco segundos, um atacante precisa apenas de algumas centenas de requisições por segundo — indistinguíveis de usuários — para prejudicá-lo. Resiliência L7 é trabalho compartilhado: o host filtra as inundações; você faz cache agressivamente, limita a taxa de endpoints caros e (se quiser páginas de desafio) usa um CDN na frente. Hosts honestos dizem isso; desconfie de qualquer um que prometa “impossível de hackear”.

Por que projetos propensos a ataques vão offshore por isso

Existe um padrão feio na hospedagem tradicional: ser atacado, ser suspenso. A política DDoS real de muitos provedores baratos é fazer null-route na vítima — seu IP fica escuro até o ataque parar, o que significa que o atacante vence instantânea e repetidamente. Redes com mitigação séria e uma cultura de não punir vítimas são encontradas desproporcionalmente no canto offshore/tolerante a DDoS do mercado — a Romênia é famosa exatamente por isso. Nossa política é a sensata: ser atacado não é uma violação, a mitigação é acionada automaticamente e ninguém recebe null-route por ser vítima. (Lançar ataques, claro, está do outro lado do AUP.)

FAQ

Perguntas frequentes

A proteção DDoS é realmente gratuita em todos os planos VPSCrypto?

Sim — mitigação volumétrica e de protocolo always-on está incluída em todos os planos em todos os locais, de Pup a Fenrir. Não há nível de “add-on DDoS”; consideramos acessibilidade parte do produto base.

Serei suspenso se meu servidor for atacado?

Não. Ser vítima de um ataque não é uma violação do AUP aqui. A mitigação é acionada automaticamente e seu serviço continua dentro da capacidade da proteção. O reflexo de suspender a vítima dos hosts baratos é exatamente o que projetos propensos a ataques deveriam estar fugindo.

A proteção desacelera meu tráfego normal?

Não de forma perceptível. Fora de condições de ataque, o tráfego flui normalmente com análise inline; durante a mitigação, os fluxos limpos são encaminhados após filtragem com overhead de latência em baixos milissegundos — invisível comparado à alternativa, que é ficar offline.

Posso proteger um servidor de jogos contra inundações estilo L7?

Protocolos de jogos se beneficiam das camadas volumétrica e de protocolo, que é onde a maioria dos ataques a jogos ocorre (inundações UDP). Para abuso em nível de aplicação dentro do próprio protocolo do jogo, combine a proteção em nível de host com os próprios limites de taxa e sessão do servidor de jogos — veja nossa página de VPS para servidor de jogos.

Ainda preciso de Cloudflare ou CDN na frente de um site?

Para inundações de rede puras, não. Para abuso na camada HTTP contra endpoints caros, o cache e as páginas de desafio de um CDN adicionam um escudo L7 útil, e ocultar seu IP de origem atrás dele remove completamente a superfície de ataque direto. Eles se complementam bem: filtragem abaixo, CDN acima.

Relacionado

Continue explorando.

VPS para servidor de jogosA carga de trabalho mais propensa a ataques na hospedagem ao consumidor.VPS na RomêniaA cultura de rede tolerante a DDoS, no nosso preço base.O que é KVM?Isolamento contra vizinhos, a ameaça mais silenciosa.Uso aceitávelSer atacado é permitido; atacar não é.Ficha de dadosEscala e política de proteção, declaradas de forma verificável.

Implante um VPS offshore em cerca de um minuto

Sem KYC, pago em cripto, tudo NVMe. Escolha um plano, pague em Monero ou qualquer moeda principal e receba root em cerca de 60 segundos.

Criar VPS Deploy API
Fenrir em guarda