0 
0 
Por Ofir Shaham e Gabi Sharadin da Imperva
Nos últimos meses, manchetes chamaram atenção para ataques DDoS recordistas, frequentemente medidos em terabits por segundo (Tbps) e acompanhados por declarações de capacidade de rede que chegam a centenas de Tbps. Embora impressionantes, esses números podem criar uma narrativa enganosa sobre o que realmente importa na proteção contra DDoS.
A natureza real dos ataques DDoS modernos exige uma compreensão mais sofisticada. A capacidade bruta, por si só, não determina se uma organização consegue resistir a um ataque. O que realmente faz diferença são fatores como defesa distribuída, tempo de mitigação, qualidade da filtragem e resiliência contra ataques complexos e com alto volume de pacotes.
Um exemplo recente ilustra bem esse ponto.
Estudo de caso: uma sequência de ataques DDoS em um único dia
Uma grande empresa de tecnologia dos Estados Unidos foi alvo de dois dos maiores ataques DDoS de camada de rede já registrados — ambos no mesmo dia —, demonstrando a crescente intensidade dos ataques volumétricos.
- Primeiro ataque: atingiu o pico de 1,2 Tbps e 563 milhões de pacotes por segundo (PPS). Durou nove minutos e levou as estratégias de mitigação ao limite.
- Segundo ataque: apenas algumas horas depois, chegou a quase 1,5 Tbps e manteve mais de 1 bilhão de PPS durante 20 minutos.
Ambos foram ataques volumétricos, direcionados às camadas 3 e 4 do modelo OSI. A taxa extrema de PPS indica que os invasores não buscavam apenas saturar a largura de banda, mas também sobrecarregar roteadores e switches — sistemas geralmente mais vulneráveis a inundações de pacotes do que ao tráfego total.
A análise revelou que o ataque era majoritariamente baseado em UDP, explorando inundações de alto volume que consomem recursos de rede e processamento. Na segunda onda, os invasores adicionaram componentes TCP, indicando uma escalada deliberada em complexidade e foco em recursos críticos. O ataque utilizou técnicas de amplificação, explorando serviços mal configurados para multiplicar o volume de tráfego, além de uma botnet global composta por dispositivos comprometidos em várias regiões. Essa combinação aumentou tanto a escala quanto a dificuldade de mitigação, ao misturar múltiplos vetores e dispersar as origens do tráfego em todo o mundo.
A mitigação teve sucesso porque o tráfego foi bloqueado por cerca de 30 pontos de presença (PoPs) globais da Imperva. Ao interceptar os pacotes maliciosos próximos à origem — em locais como Jacarta, Mumbai e Joanesburgo —, a rede de mitigação impediu que eles chegassem às infraestruturas principais na Europa e nos EUA.
Conclusão: escala sozinha não vence; qualidade e precisão, sim.
1. Ataques DDoS são, por natureza, altamente distribuídos
Campanhas modernas de DDoS utilizam botnets globais com centenas de milhares (ou milhões) de dispositivos comprometidos. O tráfego raramente vem da mesma região dos usuários legítimos. Portanto, é muito mais eficaz bloquear o tráfego malicioso próximo à sua origem, em vez de permitir que ele se acumule e gere volumes massivos próximos ao destino.
A Threat Intelligence da Imperva rastreia a reputação de IPs, permitindo mitigar rapidamente ataques de botnets conhecidas.
2. Mitigação distribuída é essencial para uma defesa eficaz
Parar um ataque em trânsito já não é suficiente. Uma rede de mitigação bem distribuída garante:
- Proximidade das origens do ataque: bloqueando pacotes antes de atravessarem backbones globais.
- Detecção precoce: identificando inundações em segundos, não em minutos.
- Isolamento e descarte do tráfego malicioso: sem afetar usuários legítimos.
Cada PoP global da Imperva atua como um centro de filtragem. Esse modelo distribuído elimina a necessidade de poucos centros gigantescos, que poderiam sobrecarregar-se e exigir redirecionamento de tráfego. Com todos os PoPs aptos a realizar a filtragem, a maioria dos ataques é neutralizada localmente — evitando interrupções, sessões quebradas e latência para os clientes.
3. Mesmo pequenos PoPs têm papel fundamental
Ao contrário do senso comum, um PoP não precisa ter capacidade gigantesca para ser eficaz. Se um PoP em Joanesburgo recebe 100 Gbps de um ataque UDP e o bloqueia imediatamente, isso já evita sobrecarga global. A capacidade de filtrar pacotes maliciosos localmente é muito mais valiosa do que exibir capacidade de absorção em múltiplos terabits em um data center distante.
Mesmo que o PoP tenha capacidade menor que o volume do ataque, ele cumpre seu papel se o tráfego descartado for malicioso. O link pode até congestionarse, mascarando a magnitude total do ataque, mas o excesso bloqueado é tráfego malicioso — e não de usuários legítimos.
Por isso, o tamanho absoluto de um PoP importa menos do que sua capacidade de separar o tráfego de ataque do tráfego legítimo. Técnicas como quarantine uplinks, sinkholing avançado e remote triggered blackholing (RTBH) ajudam a garantir essa separação.
4. Em cenários de tráfego misto, qualidade de filtragem e tempo de mitigação são críticos
O ataque de 1,1 bilhão de PPS mostra por que o tempo de mitigação e a inteligência de filtragem são fundamentais. Inundações de PPS afetam roteadores e switches, enquanto ataques multivetoriais — como SYN floods, combinações de amplificação/reflexão ou HTTP floods — misturam tráfego malicioso e legítimo.
Nesses casos, a mitigação exige mais do que largura de banda:
- Inspeção de tráfego em linha
- Detecção de padrões sutis em segundos
- Resposta em tempo real a vetores em mudança
- Preservação do tráfego legítimo
Detecção de anomalias via perfis adaptativos com IA/ML
Ataques à camada de aplicação (camada 7) exigem ainda mais análise comportamental e defesa adaptativa, já que os invasores têm focado em HTTP floods, abuso de APIs e consultas DNS projetadas para escapar de defesas baseadas apenas em capacidade. Casos recentes como QUICLEAK e MadeYouReset mostram como técnicas sofisticadas exploram falhas de protocolo para sobrecarregar servidores, destacando a importância de defesas inteligentes.
5. Ataques em escala de Tbps são raros; a maioria é mais direcionada e complexa
Embora ataques multiterabit ganhem manchetes, eles são raros — apenas cerca de 0,1% ultrapassam múltiplos Tbps ou 1 bilhão de PPS. A maioria das ameaças reais é menor, porém mais complexa, incluindo:
- Inundações por rajadas ou ataques “carpet bombing”
- Tentativas de exaustão de estado (como TCP SYN floods)
- Ataques à camada de aplicação direcionados a APIs ou DNS
- Golpes curtos e intensos projetados para sobrecarregar defesas rapidamente
A mitigação de 3 segundos da Imperva neutraliza rapidamente esses ataques curtos, garantindo continuidade operacional mesmo diante de ataques sofisticados.
Conclusão: priorize prontidão real, não métricas de marketing
Ao avaliar um provedor de mitigação DDoS, não se deixe influenciar por números como “X Tbps mitigados” ou “centenas de Tbps de capacidade”. Em vez disso, questione:
- Quão distribuída é a rede de mitigação?
- O tráfego malicioso é bloqueado próximo à origem?
- Quais recursos de inteligência e análise comportamental estão em uso?
- A plataforma é eficaz contra ataques de camada de aplicação?
- Qual é o tempo médio de mitigação por tipo de ataque?
O caso dos ataques consecutivos nos EUA mostra que até as maiores inundações podem ser contidas — não pela escala bruta, mas por defesas distribuídas, adaptativas e em tempo real.
A capacidade importa, mas arquitetura, visibilidade e velocidade importam mais. A verdadeira resiliência vem de uma defesa inteligente e distribuída, projetada para os ataques que as organizações realmente enfrentam.
Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.
