A perspetiva da Cyber Academy
DDoS é o ataque que inunda um serviço a partir de múltiplas origens para esgotar a capacidade disponível. Pode ser volumétrico, ao nível do protocolo ou da camada aplicacional. A mitigação tornou-se uma commodity (Cloudflare, Akamai, AWS Shield). A questão de risco já não é «conseguimos bloqueá-lo», mas «os serviços críticos estão encaminhados através da proteção, incluindo as APIs que nunca aparecem nos dashboards».
O que um ataque de negação de serviço distribuído realmente faz
Um ataque de negação de serviço tem um único objetivo: tornar um serviço indisponível para quem depende dele. A versão distribuída, o DDoS, consegue isso gerando o tráfego a partir de muitas máquinas ao mesmo tempo, muitas vezes uma botnet de dispositivos comprometidos, servidores sequestrados ou infraestrutura de ataque alugada. Como a carga chega de milhares de endereços distintos, não é possível simplesmente bloquear um único infrator, e é a enorme quantidade de fontes que permite ao atacante sobrecarregar uma capacidade que uma única máquina jamais alcançaria. O alvo não precisa ser violado nem sofrer roubo de dados. Só precisa ser colocado fora do ar, o que faz do DDoS um ataque à disponibilidade e não à confidencialidade ou à integridade.
Os profissionais costumam classificar o DDoS em três camadas, porque a camada determina a defesa. Os ataques volumétricos tentam saturar a largura de banda do próprio enlace, recorrendo com frequência à amplificação, em que uma pequena requisição falsificada desencadeia uma resposta de grande tamanho dirigida à vítima. Os ataques de protocolo esgotam o estado nos equipamentos de rede e nos servidores, por exemplo deixando conexões semiabertas que nunca se completam. Os ataques à camada de aplicação são os mais silenciosos: enviam requisições que parecem legítimas, como chamadas repetidas a um endpoint de busca ou a uma página de login, e esgotam a aplicação em vez do canal. Esta última categoria é a mais difícil de separar dos usuários reais.
Por que a mitigação já não é a parte difícil
Deter o tráfego DDoS tornou-se um serviço comum. Grandes provedores como Cloudflare, Akamai e AWS Shield absorvem ataques na borda de redes enormes, encaixando as enchentes volumétricas muito a montante do cliente e filtrando os abusos de protocolo e de aplicação com depuração de tráfego e limitação de taxa. Para a maioria das organizações, a pergunta técnica sobre se um ataque pode ser bloqueado tem um sim seguro, desde que o tráfego seja roteado por essa proteção. A pergunta mais difícil, e a que uma função de risco deveria fazer, é de cobertura e não de capacidade.
A lacuna que dói é o ativo que ninguém roteou pelo escudo. Um site de marketing público fica atrás do CDN, mas a API que o aplicativo móvel chama, o endereço IP de origem herdado que nunca foi desativado, o endpoint de integração com parceiro ou o serviço regional criado por outra equipe podem resolver diretamente para a origem, contornando totalmente a proteção. Os atacantes encontram esses caminhos diretos e miram neles. Uma defesa DDoS eficaz é, portanto, antes de tudo um problema de inventário e roteamento: conhecer cada serviço exposto à internet, confirmar que cada um está de fato atrás da mitigação e provar que a origem não pode ser alcançada contornando-a.
Onde o DDoS se encaixa na continuidade e nas normas
Como o DDoS ataca a disponibilidade, ele pertence à mesma conversa que a gestão da continuidade de negócios. Um sistema de gestão da segurança da informação alinhado à ISO/IEC 27001 trata a disponibilidade como uma das três propriedades que protege, e um cenário de negação de serviço é uma entrada de manual para uma análise de impacto no negócio: por quanto tempo cada serviço pode ficar fora do ar, o que depende dele e qual é a alternativa. A resposta raramente é um único controle. Ela combina mitigação a montante, um runbook de resposta a incidentes com contatos nomeados no provedor de mitigação e arranjos de continuidade para o período em que um ataque está sendo absorvido.
O que os profissionais realmente fazem, além de comprar mitigação, é ensaiar e verificar. Eles mantêm um inventário preciso dos serviços expostos à internet, confirmam que cada um está atrás da proteção e testam que a origem é inacessível diretamente. Ajustam os limites de taxa e as páginas de desafio para os abusos da camada de aplicação, já que esses ataques imitam o tráfego real e não podem ser resolvidos apenas com largura de banda. Escrevem o caminho de escalonamento antes de um incidente, para que durante uma enchente ninguém fique procurando o número de telefone certo. E tratam um evento DDoS como um exercício de continuidade, com limiares claros para acionar o plano, comunicar-se com os clientes e restabelecer os serviços assim que o tráfego diminui.
Frequently asked questions
01Qual é a diferença entre DoS e DDoS?
Um ataque de negação de serviço vem de uma única fonte, enquanto uma negação de serviço distribuída usa muitas fontes ao mesmo tempo, normalmente uma botnet. É a distribuição que torna o DDoS eficaz: não se pode bloquear um único infrator, e o tráfego combinado pode esgotar uma capacidade que nenhuma máquina sozinha alcançaria.
02Quais são os três tipos de ataque DDoS?
Os ataques volumétricos saturam a largura de banda do enlace, muitas vezes por amplificação. Os ataques de protocolo esgotam o estado nos dispositivos de rede e nos servidores, como as conexões semiabertas. Os ataques à camada de aplicação enviam requisições que parecem legítimas para esgotar a própria aplicação, o que os torna os mais difíceis de filtrar.
03Os ataques DDoS ainda podem ser detidos?
Para o tráfego roteado por uma mitigação moderna, quase sempre. Provedores como Cloudflare, Akamai e AWS Shield absorvem as enchentes a montante. O risco real é a cobertura: um ativo como um endereço IP de origem direto ou uma API desprotegida que resolve contornando o escudo e nunca recebe a proteção.
04Por que o DDoS é uma preocupação de continuidade de negócios?
O DDoS ataca a disponibilidade, por isso alimenta diretamente a gestão da continuidade de negócios e a análise de impacto no negócio. A pergunta é por quanto tempo cada serviço pode ficar fora do ar e qual é a alternativa, razão pela qual a mitigação deve ser combinada com um runbook de resposta a incidentes e arranjos de continuidade.
05Um DDoS significa que meus dados foram violados?
Não por si só. O DDoS é um ataque à disponibilidade cujo objetivo é colocar um serviço fora do ar, não roubar ou alterar dados. Às vezes é usado como distração durante outra intrusão, então uma enchente deve ainda assim acionar um monitoramento reforçado de outros sistemas.