Mitigação DDoS.
As defesas de borda que impedem ataques volumétricos de chegarem ao seu VPS. Sempre ligadas. Inclusas. Nunca um upsell.
O conjunto de medidas técnicas — rate-limiting de borda, scrubbing centres, desvio anycast, classificação comportamental de tráfego — que impede um ataque de negação-de-serviço distribuído de saturar a banda ou o processamento do servidor-alvo. Na NordBastion, a mitigação é always-on na borda dos quatro bastions, inclusa em todo tier, sem opt-in nem opt-out.
Mitigação é um piso, não um tier premium.
O problema estrutural com proteção DDoS facturável é que ela permite que o atacante defina o preço do cliente. Se um Gbps de flood absorvido te custa dinheiro, então um atacante capaz de arremessar algumas centenas de Gbps no seu IP pode te tirar da plataforma só pela economia — sem nunca violar nada. A NordBastion trata isso como custo de plataforma e o amortiza pelo catálogo: todo VPS e todo tier dedicado entrega a mesma mitigação volumétrica e L7 always-on, e tráfego de ataque absorvido nunca é facturado.
Mecanicamente, os quatro bastions cada um faz peering em 1,6–2,4 Tbps de ingresso agregado com scrubbing always-on perto do handoff da operadora. Floods volumétricos (amplificação UDP, SYN floods, IP fragmentado) são descartados no roteador de borda; storms de camada-7 (slow-POST, floods HTTP GET com user-agents rotativos) são classificados comportamentalmente antes de chegarem ao seu tier. O plano de controle é anycast pelos quatro sites, então um ataque grande o suficiente para ameaçar um bastion é automaticamente desviado pelos outros.
O que a mitigação não faz: não inspeciona seus payloads de aplicação, não termina TLS, não vê quem está logado no seu serviço. É um piso de camada de rede que deixa sua aplicação focar nas requisições que de fato chegaram. Se sua carga precisa de filtragem na camada de aplicação (proteções contra injeção SQL, scoring de bot abusivo), rode um WAF por cima — mas não confunda os dois.
Acompanhe a mitigação pela NordBastion.
- · /network/ — o mapa de peering por bastion, topologia de scrubbing e diagrama do plano anycast.
- · /vps/ — todo tier VPS (Sentinel até Bastille) entrega mitigação always-on por padrão.
- · /dedicated/ — tiers bare-metal herdam a mesma proteção de borda em velocidades de uplink maiores.
- · /status/ — saturação de uplink por bastion ao vivo e histórico público de incidentes mitigados.
- · /peering/ — a presença em IX e mix de trânsito que determina o teto volumétrico em cada site.
- · / — a página inicial destaca a garantia de mitigação always-on na faixa de funcionalidades.
Perguntas sobre mitigação, respondidas.
Que tamanhos de ataque o edge aguenta?
Cada bastion faz peering com 1,6–2,4 Tbps de capacidade agregada de ingresso, com scrubbing volumétrico always-on, que absorve a esmagadora maioria dos ataques reais — telemetria pública do Q4-2025 mostrou que 99,4% dos eventos DDoS na internet ficaram abaixo de 100 Gbps. Floods camada-7 (storms HTTP GET/POST) são classificados comportamentalmente e descartados antes de chegarem ao seu VPS. O teto duro por bastion é o total de peering; ataques realmente em escala nacional (multi-Tbps) são desviados pelo plano anycast de quatro bastions.
Há fee extra por proteção DDoS?
Não — e isso é deliberado. Outras hosts cobram proteção DDoS como add-on por Gbps ou como tier enterprise separado, o que efetivamente significa que um alvo pequeno é cobrado por estar sendo atacado. A NordBastion inclui mitigação always-on em todo tier VPS, do Sentinel ($5,90/mês) ao Bastille ($23,90/mês), e em todo tier dedicado, sem cobrança baseada em uso sobre tráfego de ataque absorvido. A economia funciona porque o custo de mitigação é amortizado pela plataforma, não facturado por incidente.
Como difere de um WAF estilo Cloudflare?
Um WAF (Web Application Firewall) opera na camada 7 do OSI — inspeciona requisições HTTP em busca de assinaturas de ataque de camada de aplicação (injeção SQL, XSS, padrões abusivos de bot) e é em si um proxy reverso que termina TLS. A mitigação DDoS da NordBastion opera nas camadas 3–4 — descarta pacotes malformados, reflexões de amplificação e floods volumétricos na borda da rede antes que consumam sua banda, e não termina TLS nem vê seus payloads de aplicação. Os dois são complementares; rode um WAF por cima se seu app precisar.
E se a própria carga estiver causando o pico?
Um evento de tráfego viral legítimo — um lançamento, uma menção na imprensa, uma frontpage do Hacker News — tem formato de rate-limit, não de ataque, e o classificador comportamental vai deixar passar. Se você saturar o uplink do seu tier com tráfego legítimo, o caminho de upgrade é um clique no painel para um VPS maior ou um tier dedicado com uplink mais largo; sem ticket de suporte necessário. Abuso de saída (seu servidor sendo a fonte de tráfego de ataque, ex.: um brute-forcer SSH ou relay de mail aberto) é tratado separadamente — veja /doctrine/ sobre o que vamos e não vamos hospedar.