Meu site ou aplicacao esta fora do ar ou sob ataque DDoS — o que fazer agora

Primeiros passos — o que fazer agora

1. 1

   Confirme a causa antes de reagir

   Abra o painel de trafego do seu CDN/host e compare com a linha de base normal. DDoS aparece como volume altissimo de muitas origens em pouco tempo; pico legitimo vem de campanha, post viral ou horario de pico; queda por invasao traz erros 5xx, processos estranhos ou alteracoes que voce nao fez. Nao reinicie servidores as cegas: isso pode apagar evidencias.

2. 2

   Coloque o site atras de um WAF/CDN e ative o modo Under Attack

   Se ainda nao usa, ponha o dominio atras de uma CDN com protecao anti-DDoS e ligue o modo Under Attack, que insere um desafio de validacao antes de servir o conteudo. Isso filtra bots automatizados e absorve a maior parte do trafego malicioso na borda, fora da sua infraestrutura.

3. 3

   Aplique rate limiting e geoblocking temporario

   Configure limites de requisicoes por IP e por rota (especialmente login, busca e checkout) e bloqueie temporariamente paises ou ASNs de onde voce comprovadamente nao tem trafego legitimo. Trate como medida cirurgica e reversivel, e documente, para reverter quando o ataque cessar e nao penalizar usuarios reais.

4. 4

   Escale com hospedagem e CDN imediatamente

   Abra chamado de severidade maxima com seu provedor de hospedagem e de CDN informando que esta sob ataque ativo. Eles tem capacidade de scrubbing e regras de mitigacao em nivel de rede que voce nao consegue aplicar sozinho. Tenha em maos IP de origem, dominios afetados e horario exato de inicio.

5. 5

   Preserve logs e evidencias agora

   Antes que os logs rotacionem ou se sobrescrevam, exporte e guarde em local seguro: logs de acesso e erro do servidor web, logs do WAF/CDN, dados de fluxo de rede (NetFlow, se houver) e o horario de inicio. Esses dados sao essenciais para entender o vetor, dimensionar o ataque e identificar se houve intrusao acoplada.

6. 6

   Verifique se ha intrusao por tras do DDoS

   DDoS e frequentemente cortina de fumaca. Enquanto a equipe foca em manter o site no ar, um atacante pode explorar uma falha, exfiltrar dados ou tentar login em massa. Cheque acessos administrativos, novas contas ou chaves de API, alteracoes em arquivos, regras de firewall e picos de saida de dados durante a janela do ataque.

7. 7

   Comunique o status aos usuarios com calma

   Publique um aviso curto e honesto numa pagina de status ou nas redes: reconheca a instabilidade, diga que esta sendo tratada e evite detalhes tecnicos que ajudem o atacante. Comunicacao clara reduz panico, chamados de suporte e dano de reputacao.

8. 8

   Acione a Resposta a Incidentes 24/7 da Decripte

   Se o ataque persiste, voce nao tem WAF, ou suspeita de invasao junto, acione a Resposta a Incidentes 24/7 da Decripte pelo /contato. Nosso SOC assume a contencao na borda com SLA de ate 1 hora, investiga se houve comprometimento paralelo e devolve o ambiente estabilizado.

Primeiro passo: e DDoS, pico legitimo ou invasao?

Antes de qualquer mitigacao, diagnostique. Um ataque DDoS distribuido aparece como um volume de requisicoes muito acima da media, originado de muitas redes e geografias diferentes e concentrado em pouco tempo. Um pico legitimo tem explicacao no mundo real — uma campanha de marketing, um post que viralizou, uma promocao ou um horario comercial de pico — e o trafego, ainda que alto, tem padrao coerente de usuarios reais. Ja uma queda por invasao costuma vir acompanhada de erros internos, processos desconhecidos consumindo recursos, arquivos alterados ou configuracoes que ninguem da equipe mexeu.

O lugar para olhar e o painel de analytics do seu CDN, WAF ou balanceador, alem dos logs do servidor web. Compare o trafego atual com a linha de base das ultimas semanas. Se o volume e anormal e disperso, e mitigacao de DDoS. Se o volume esta normal mas o servidor caiu, investigue comprometimento. Diagnosticar errado faz voce desperdicar tempo precioso aplicando a defesa errada — e e justamente nessa fase de deteccao e analise que um SOC com visibilidade 24x7 reduz drasticamente o tempo ate a contencao.

Ativar mitigacao na borda: WAF, CDN e modo Under Attack

A defesa mais eficaz contra DDoS acontece na borda, antes de o trafego chegar ao seu servidor. Coloque o dominio atras de uma CDN com protecao anti-DDoS — a Cloudflare e a opcao mais comum e oferece plano gratuito de entrada — e ative o modo Under Attack, que apresenta um desafio de validacao por alguns segundos a cada visitante, filtrando bots automatizados sem bloquear gente de verdade. Esse mecanismo absorve a maior parte do trafego volumetrico na rede do provedor, poupando sua infraestrutura.

Em seguida, refine com rate limiting por IP e por rota, dando atencao especial aos endpoints mais caros e mais visados: login, busca, APIs e checkout. Use geoblocking temporario para cortar regioes de onde voce comprovadamente nao tem clientes — mas trate como medida cirurgica e reversivel. Ataques de camada 7 (aplicacao) imitam usuarios reais e exigem regras de WAF mais finas do que um simples bloqueio volumetrico; e aqui que a configuracao especializada faz a diferenca entre filtrar o atacante e derrubar seus proprios clientes.

Escalar com provedores e preservar evidencias

Voce nao precisa enfrentar um ataque de rede sozinho. Abra imediatamente um chamado de severidade maxima com seu provedor de hospedagem e com sua CDN, deixando claro que se trata de ataque ativo. Provedores tem capacidade de scrubbing, mitigacao em nivel de rede e visibilidade que voce nao alcanca de dentro. Forneca horario de inicio, dominios e IPs afetados e qualquer padrao que ja tenha identificado para acelerar a resposta deles.

Em paralelo, preserve evidencias antes que se percam. Exporte e guarde em local seguro os logs de acesso e erro, os logs do WAF/CDN, os dados de fluxo de rede e o registro temporal do evento. Esses artefatos sao o que permite, depois, reconstruir o ataque, dimensionar o impacto e — crucial — verificar se houve intrusao acoplada. Logs rotacionam e se sobrescrevem; perde-los significa investigar no escuro e, se houver vazamento de dados, comprometer sua capacidade de cumprir as obrigacoes legais de notificacao.

O risco oculto: DDoS como cortina de fumaca

Equipes sob pressao para colocar o site no ar de volta tendem a focar exclusivamente na disponibilidade — e e exatamente nesse ponto cego que atacantes operam. Um ataque DDoS barulhento serve com frequencia para distrair a equipe enquanto, em silencio, ocorre exploracao de uma vulnerabilidade, brute-force de credenciais ou exfiltracao de dados. Quando o trafego volta ao normal, ninguem olha para tras e o comprometimento passa despercebido por dias ou semanas.

Por isso, durante e depois do ataque, investigue a fundo: acessos administrativos fora do padrao, novas contas ou chaves de API, alteracoes em arquivos e configuracoes, mudancas em regras de firewall e qualquer pico anormal de saida de dados na janela do incidente. Se houver indicio de acesso indevido ou vazamento de dados pessoais, a Lei Geral de Protecao de Dados impoe deveres de notificacao com prazo curto — tratado na nota legal abaixo. Encarar todo DDoS como possivel evento duplo e o que separa uma resposta madura de uma falsa sensacao de seguranca.

Recuperacao, comunicacao e licoes aprendidas

Com o ataque contido, restabeleca a normalidade de forma controlada: reverta geoblocking e regras agressivas que ja nao sao necessarias, monitore de perto para garantir que o trafego se estabilizou e confirme que nenhum servico colateral ficou degradado. Mantenha o WAF e o monitoramento ativos — atacantes costumam retornar para testar se voce baixou a guarda. Comunique aos usuarios que o servico foi normalizado, com a mesma honestidade e calma do aviso inicial.

Depois, faca a licao aprendida. Documente o vetor, o que funcionou, o que demorou e o que faltou. Configure protecao de borda permanente, alertas de anomalia de trafego e um runbook de DDoS para que a proxima ocorrencia seja rotina, nao crise. A Decripte protege a borda dos clientes com WAF e anti-DDoS bem configurados e monitora o ambiente 24x7 com SOC proprio, de modo que o ataque seja detectado e contido antes de virar indisponibilidade. E para enxergar sua exposicao desde ja, o plano gratuito de Gestao de Ameacas (https://decripte.io/free) mostra credenciais vazadas, exposicao na dark web e reputacao do seu dominio, sem cartao de credito e sem precisar de equipe tecnica.

Termos importantes

DDoS (Distributed Denial of Service)

Ataque que sobrecarrega um site, aplicacao ou rede com um volume enorme de requisicoes vindas de muitas origens distribuidas ao mesmo tempo, tornando o servico lento ou indisponivel para usuarios legitimos.

WAF (Web Application Firewall)

Firewall de aplicacao que filtra e bloqueia trafego malicioso na camada web, inspecionando requisicoes para barrar bots, exploracoes e padroes de ataque antes de chegarem ao servidor.

Modo Under Attack

Recurso de CDNs como a Cloudflare que apresenta um desafio de validacao por alguns segundos a cada visitante, filtrando trafego automatizado de bots e absorvendo a maior parte de um ataque volumetrico na borda.

Rate limiting

Tecnica que limita quantas requisicoes um mesmo IP ou rota pode fazer em um intervalo de tempo, protegendo endpoints sensiveis como login, busca e checkout contra abuso e ataques de camada de aplicacao.

Ataque de camada 7 (L7)

Ataque DDoS direcionado a camada de aplicacao que imita o comportamento de usuarios reais, focando em rotas caras do sistema; e mais dificil de detectar e exige regras de WAF mais finas do que ataques puramente volumetricos.

Cortina de fumaca

Tatica em que um ataque barulhento, como um DDoS, distrai a equipe de seguranca enquanto, em paralelo e em silencio, ocorre uma intrusao, brute-force de credenciais ou exfiltracao de dados.

Perguntas frequentes