DDoS Distributed Denial of Service.

DDoS é o ataque que inunda um serviço a partir de múltiplas origens para esgotar a capacidade disponível. Pode ser volumétrico, ao nível do protocolo ou da camada aplicacional. A mitigação tornou-se uma commodity (Cloudflare, Akamai, AWS Shield). A questão de risco já não é «conseguimos bloqueá-lo», mas «os serviços críticos estão encaminhados através da proteção, incluindo as APIs que nunca aparecem nos dashboards».

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

A perspetiva da Cyber Academy

DDoS é o ataque que inunda um serviço a partir de múltiplas origens para esgotar a capacidade disponível. Pode ser volumétrico, ao nível do protocolo ou da camada aplicacional. A mitigação tornou-se uma commodity (Cloudflare, Akamai, AWS Shield). A questão de risco já não é «conseguimos bloqueá-lo», mas «os serviços críticos estão encaminhados através da proteção, incluindo as APIs que nunca aparecem nos dashboards».

O que um ataque de negação de serviço distribuído realmente faz

Um ataque de negação de serviço tem um único objetivo: tornar um serviço indisponível para quem depende dele. A versão distribuída, o DDoS, consegue isso gerando o tráfego a partir de muitas máquinas ao mesmo tempo, muitas vezes uma botnet de dispositivos comprometidos, servidores sequestrados ou infraestrutura de ataque alugada. Como a carga chega de milhares de endereços distintos, não é possível simplesmente bloquear um único infrator, e é a enorme quantidade de fontes que permite ao atacante sobrecarregar uma capacidade que uma única máquina jamais alcançaria. O alvo não precisa ser violado nem sofrer roubo de dados. Só precisa ser colocado fora do ar, o que faz do DDoS um ataque à disponibilidade e não à confidencialidade ou à integridade.

Os profissionais costumam classificar o DDoS em três camadas, porque a camada determina a defesa. Os ataques volumétricos tentam saturar a largura de banda do próprio enlace, recorrendo com frequência à amplificação, em que uma pequena requisição falsificada desencadeia uma resposta de grande tamanho dirigida à vítima. Os ataques de protocolo esgotam o estado nos equipamentos de rede e nos servidores, por exemplo deixando conexões semiabertas que nunca se completam. Os ataques à camada de aplicação são os mais silenciosos: enviam requisições que parecem legítimas, como chamadas repetidas a um endpoint de busca ou a uma página de login, e esgotam a aplicação em vez do canal. Esta última categoria é a mais difícil de separar dos usuários reais.

Por que a mitigação já não é a parte difícil

Deter o tráfego DDoS tornou-se um serviço comum. Grandes provedores como Cloudflare, Akamai e AWS Shield absorvem ataques na borda de redes enormes, encaixando as enchentes volumétricas muito a montante do cliente e filtrando os abusos de protocolo e de aplicação com depuração de tráfego e limitação de taxa. Para a maioria das organizações, a pergunta técnica sobre se um ataque pode ser bloqueado tem um sim seguro, desde que o tráfego seja roteado por essa proteção. A pergunta mais difícil, e a que uma função de risco deveria fazer, é de cobertura e não de capacidade.

A lacuna que dói é o ativo que ninguém roteou pelo escudo. Um site de marketing público fica atrás do CDN, mas a API que o aplicativo móvel chama, o endereço IP de origem herdado que nunca foi desativado, o endpoint de integração com parceiro ou o serviço regional criado por outra equipe podem resolver diretamente para a origem, contornando totalmente a proteção. Os atacantes encontram esses caminhos diretos e miram neles. Uma defesa DDoS eficaz é, portanto, antes de tudo um problema de inventário e roteamento: conhecer cada serviço exposto à internet, confirmar que cada um está de fato atrás da mitigação e provar que a origem não pode ser alcançada contornando-a.

Onde o DDoS se encaixa na continuidade e nas normas

Como o DDoS ataca a disponibilidade, ele pertence à mesma conversa que a gestão da continuidade de negócios. Um sistema de gestão da segurança da informação alinhado à ISO/IEC 27001 trata a disponibilidade como uma das três propriedades que protege, e um cenário de negação de serviço é uma entrada de manual para uma análise de impacto no negócio: por quanto tempo cada serviço pode ficar fora do ar, o que depende dele e qual é a alternativa. A resposta raramente é um único controle. Ela combina mitigação a montante, um runbook de resposta a incidentes com contatos nomeados no provedor de mitigação e arranjos de continuidade para o período em que um ataque está sendo absorvido.

O que os profissionais realmente fazem, além de comprar mitigação, é ensaiar e verificar. Eles mantêm um inventário preciso dos serviços expostos à internet, confirmam que cada um está atrás da proteção e testam que a origem é inacessível diretamente. Ajustam os limites de taxa e as páginas de desafio para os abusos da camada de aplicação, já que esses ataques imitam o tráfego real e não podem ser resolvidos apenas com largura de banda. Escrevem o caminho de escalonamento antes de um incidente, para que durante uma enchente ninguém fique procurando o número de telefone certo. E tratam um evento DDoS como um exercício de continuidade, com limiares claros para acionar o plano, comunicar-se com os clientes e restabelecer os serviços assim que o tráfego diminui.

Frequently asked questions

01Qual é a diferença entre DoS e DDoS?

Um ataque de negação de serviço vem de uma única fonte, enquanto uma negação de serviço distribuída usa muitas fontes ao mesmo tempo, normalmente uma botnet. É a distribuição que torna o DDoS eficaz: não se pode bloquear um único infrator, e o tráfego combinado pode esgotar uma capacidade que nenhuma máquina sozinha alcançaria.

02Quais são os três tipos de ataque DDoS?

Os ataques volumétricos saturam a largura de banda do enlace, muitas vezes por amplificação. Os ataques de protocolo esgotam o estado nos dispositivos de rede e nos servidores, como as conexões semiabertas. Os ataques à camada de aplicação enviam requisições que parecem legítimas para esgotar a própria aplicação, o que os torna os mais difíceis de filtrar.

03Os ataques DDoS ainda podem ser detidos?

Para o tráfego roteado por uma mitigação moderna, quase sempre. Provedores como Cloudflare, Akamai e AWS Shield absorvem as enchentes a montante. O risco real é a cobertura: um ativo como um endereço IP de origem direto ou uma API desprotegida que resolve contornando o escudo e nunca recebe a proteção.

04Por que o DDoS é uma preocupação de continuidade de negócios?

O DDoS ataca a disponibilidade, por isso alimenta diretamente a gestão da continuidade de negócios e a análise de impacto no negócio. A pergunta é por quanto tempo cada serviço pode ficar fora do ar e qual é a alternativa, razão pela qual a mitigação deve ser combinada com um runbook de resposta a incidentes e arranjos de continuidade.

05Um DDoS significa que meus dados foram violados?

Não por si só. O DDoS é um ataque à disponibilidade cujo objetivo é colocar um serviço fora do ar, não roubar ou alterar dados. Às vezes é usado como distração durante outra intrusão, então uma enchente deve ainda assim acionar um monitoramento reforçado de outros sistemas.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.