Kaique Mitsuo Silva Yamamoto
Redes isp

Mitigação de DDoS para Provedores

Estratégias práticas de mitigação de DDoS para ISPs: BGP Blackhole, RTBH, flowspec, rate limiting, scrubbing center e proteção contra amplificação UDP.

Ataques DDoS (Distributed Denial of Service) são uma das maiores ameaças operacionais para provedores de internet. Um ataque volumétrico bem executado pode saturar completamente o uplink de um ISP de médio porte, derrubando todos os clientes simultaneamente — independentemente de quem é o alvo original do ataque.

Tipos de ataque e como identificar

Ataques volumétricos (L3/L4)

# No MikroTik — identificar tráfego anômalo em tempo real
/tool torch interface=ether1-uplink

# Filtrar por protocolo para identificar UDP flood
/tool torch interface=ether1-uplink ip-protocol=udp

# Verificar top sources de tráfego
/ip firewall connection tracking print stats
Tipo de ataqueProtocoloComo identificar
UDP FloodUDPAlto volume de pacotes UDP de IPs variados
SYN FloodTCPMuitas conexões TCP no estado SYN_SENT
ICMP FloodICMPVolume anormal de pings de múltiplas origens
DNS AmplificaçãoUDP 53Pacotes UDP grandes chegando de servidores DNS
NTP AmplificaçãoUDP 123Resposta NTP monlist (468 bytes) em volume

Resposta a incidente DDoS — passo a passo

1. Identificar o IP alvo

# Ver qual IP/rede está recebendo o maior tráfego
/ip firewall connection tracking print stats

# Verificar top destinations
/tool torch interface=ether1-uplink

2. Aplicar Blackhole imediato (RTBH)

# Adicionar rota de blackhole para o IP atacado
/ip route
add dst-address=177.X.X.Y/32 \
    type=blackhole \
    comment="RTBH: DDoS em andamento - $(date)"

# Comunicar ao cliente afetado que o IP está sendo null-routed
# SLA típico: null-route dura até o ataque cessar (geralmente 30-120 min)

3. Propagar Blackhole para upstreams via BGP

# Anunciar a rota de blackhole com community RFC 7999 (65535:666)
/routing filter rule
add chain=filter-out-blackhole \
    rule="if (dst == 177.X.X.Y/32) {
        set bgp-communities 65535:666;
        accept
    }"

O uplink que aceitar a community 65535:666 irá descartar o tráfego direcionado a esse IP na própria borda deles, antes de saturar o link do ISP.

4. Rate limiting de emergência

Se o blackhole não for suficiente (ataque distribuído em múltiplos IPs):

# MikroTik — limitar ICMP globalmente
/ip firewall filter
add chain=forward action=drop protocol=icmp \
    limit=1000,500:packet \
    comment="Emergency: ICMP rate limit"

# Limitar UDP de IPs externos para dentro
add chain=forward action=drop protocol=udp \
    in-interface-list=WAN \
    dst-port=!53,80,443 \
    limit=10000,5000:packet \
    comment="Emergency: UDP rate limit (exceto DNS/HTTP)"

Flowspec — Mitigação baseada em políticas BGP

O BGP Flowspec (RFC 5575) é uma extensão do BGP que permite distribuir políticas de firewall via protocolo de roteamento — uma forma avançada de RTBH que permite filtrar por protocolo, porta, tamanho de pacote e outros campos:

# Exemplo de regra Flowspec:
# Descartar todo tráfego UDP destinado à porta 80 de qualquer fonte
# para o IP 177.X.X.Y
dst-prefix: 177.X.X.Y/32
protocol: UDP
dst-port: 80
action: drop

Flowspec é suportado nativamente no RouterOS v7 e requer que o uplink também tenha suporte.

Proteção preventiva contra amplificação

Fechar amplificadores DNS abertos

# MikroTik — bloquear consultas DNS externas chegando na interface de clientes
/ip firewall filter
add chain=forward action=drop protocol=udp \
    dst-port=53 \
    in-interface-list=CLIENTES \
    out-interface-list=WAN \
    comment="Bloquear clientes usando DNS de terceiros como amplificador"

Bloquear NTP monlist

# NTP monlist é o vetor de amplificação mais comum
/ip firewall filter
add chain=forward action=drop protocol=udp \
    dst-port=123 packet-size=468-1500 \
    comment="Bloquear NTP monlist (amplificação 556x)"

Proteger servidores DNS próprios

# Limitar requisições por IP para o DNS do provedor
/ip firewall filter
add chain=input protocol=udp dst-port=53 \
    limit=100,50:packet action=accept
add chain=input protocol=udp dst-port=53 \
    action=drop comment="Rate limit DNS - anti-amplificação"

Automação de detecção com Zabbix

# Script que ativa RTBH automaticamente quando tráfego de um IP excede threshold
# Trigger Zabbix: net.if.in[ether1] > 8G por 2 minutos → executa action
# Action: SSH no roteador e adiciona rota blackhole

# Exemplo de script Zabbix (Action Remote Command):
/ip route add dst-address={ITEM.VALUE1}/32 type=blackhole \
    comment="Auto-RTBH: DDoS detectado pelo Zabbix"

Serviços de scrubbing no Brasil

Para ataques acima de 5-10 Gbps, considere contratação de scrubbing center:

ProvedorCapacidadeModelo
Cloudflare Magic TransitIlimitadoAnúncio BGP + scrubbing
Akamai ProlexicMulti-TbpsRedirecionamento DNS/BGP
Level3/LumenMulti-TbpsInjeção de rota via BGP
NET ServiçosRegionalScrubbing local

→ Ver guia completo de segurança para ISPs

Sofre ataques DDoS? → Consultoria gratuita

Segurança de Redes para Provedores de Internet

Segurança de redes ISP: firewall de borda, mitigação de DDoS com BGP Blackhole e RTBH, BCP38 anti-spoofing, CGNAT, RPKI e proteção de infraestrutura crítica para provedores.

Glossário Startup

86 termos essenciais de startups organizados em 6 módulos: métricas, captação, produto, growth, equity e modelos de negócio.

On this page

Tipos de ataque e como identificarAtaques volumétricos (L3/L4)Resposta a incidente DDoS — passo a passo1. Identificar o IP alvo2. Aplicar Blackhole imediato (RTBH)3. Propagar Blackhole para upstreams via BGP4. Rate limiting de emergênciaFlowspec — Mitigação baseada em políticas BGPProteção preventiva contra amplificaçãoFechar amplificadores DNS abertosBloquear NTP monlistProteger servidores DNS própriosAutomação de detecção com ZabbixServiços de scrubbing no Brasil