O que é um ataque DDoS?

Um ataque DDoS (Distributed Denial of Service) é uma tentativa maliciosa de interromper o tráfego normal de um servidor, serviço ou rede sobrecarregando o alvo com um volume massivo de tráfego vindo de múltiplas fontes distribuídas — geralmente uma botnet de dispositivos comprometidos.

Diferente do DoS simples (uma fonte), o DDoS usa centenas a milhões de dispositivos simultâneos, tornando o bloqueio por IP ineficaz. Botnets como Mirai, Meris e KV-Botnet já geraram ataques de 1+ Tbps.

Tipos de ataques DDoS

1. Ataques Volumétricos (Camada 3/4)

Saturação da largura de banda do alvo com tráfego massivo. São os mais comuns e os maiores em volume:

2. Ataques de Protocolo (Camada 3/4)

3. Ataques de Aplicação (Camada 7)

Os mais difíceis de detectar porque imitam tráfego legítimo:

Estratégias de mitigação

1. CDN + DDoS Protection (Cloudflare, AWS Shield)

A forma mais eficaz para a maioria das empresas. Serviços como Cloudflare absorvem ataques volumétricos na borda da rede (anycast), antes que cheguem à sua infraestrutura. A capacidade de rede da Cloudflare é de 280+ Tbps — maior que qualquer ataque registrado.

ServiçoCapacidadeCusto/mêsIdeal para
Cloudflare FreeSem limite (básico)GrátisSites pequenos
Cloudflare ProSem limiteUSD 25PMEs
AWS Shield StandardAutomáticoGrátis na AWSInfraestrutura AWS
AWS Shield AdvancedIlimitado + suporteUSD 3.000+Enterprise

2. Rate Limiting e Firewall de Aplicação (WAF)

Limitar requisições por IP, ASN ou fingerprint de usuário. Um WAF bem configurado bloqueia ataques de Camada 7 antes de sobrecarregar o servidor de aplicação.

3. Anycast Network Diffusion

Distribuir tráfego por múltiplos PoPs (Points of Presence) globais para absorver ataques volumétricos regionalmente.

4. Null Route / Blackhole Routing

Em casos extremos, o IP sob ataque é descartado pelo upstream ISP. Solução temporária que resulta em indisponibilidade planejada para proteger o resto da infraestrutura.

5. Monitoramento e detecção precoce

Um spike repentino de 300% no volume de pacotes SYN é sinal de SYN Flood iminente. Ferramentas como NetFlow, sFlow e sistemas como o SpaceShield AI detectam anomalias em tempo real.

Checklist de proteção DDoS para empresas

💡 Custo de um ataque: Uma hora de indisponibilidade custa em média R$ 47.000 para PMEs e R$ 2,4M para grandes empresas (Gartner, 2024). O investimento em proteção é sempre menor.
🛡 O SpaceShield AI monitora ataques TCP/IP em tempo real e detecta padrões de DDoS antes que o serviço seja impactado. Saiba mais.
DDoSSYN FloodUDP Flood CloudflareAWS ShieldWAF Segurança de RedeTCP/IP