Tipos de Ataques DDoS

Os ataques DDoS (Distributed Denial of Service) inundam sistemas alvo com tráfego malicioso para esgotar recursos e negar serviço a usuários legítimos. Os tipos de ataques variam desde inundações volumétricas que consomem largura de banda até ataques de camada de aplicação que visam serviços específicos, cada um requerendo diferentes estratégias de detecção e mitigação.

Como funcionam os ataques DDoS

Os ataques DDoS aproveitam fontes distribuídas—tipicamente botnets de dispositivos comprometidos—para gerar volumes de tráfego avassaladores. O objetivo é esgotar largura de banda, recursos de computação ou capacidade de conexão, tornando o alvo indisponível.

┌─────────────────────────────────────────────────────────────────┐
│                    Arquitetura de Ataque DDoS                   │
│                                                                 │
│  ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐    │
│  │ Bot 1   │ │ Bot 2   │ │ Bot 3   │ │ Bot ... │ │ Bot N   │    │
│  │ (IoT)   │ │(Server) │ │ (PC)    │ │         │ │ (Mobile)│    │
│  └────┬────┘ └────┬────┘ └────┬────┘ └────┬────┘ └────┬────┘    │
│       │           │           │           │           │         │
│       └───────────┴───────────┼───────────┴───────────┘         │
│                               │                                 │
│                        ┌──────▼──────┐                          │
│                        │   C&C       │                          │
│                        │  Server     │                          │
│                        └──────┬──────┘                          │
│                               │ Comando de ataque               │
│                               ▼                                 │
│                        ┌──────────────┐                         │
│                        │    Target    │                         │
│                        │   Server     │◀─── Tráfego avassalador │
│                        │   (Vítima)   │                         │
│                        └──────────────┘                         │
└─────────────────────────────────────────────────────────────────┘

Classificação de Ataques DDoS

Os ataques DDoS visam diferentes camadas do modelo OSI, cada uma com características e abordagens de mitigação distintas.

Camada	Tipo de Ataque	Alvo	Impacto Principal
3-4	Volumétrico	Largura de banda	Saturação de rede
3-4	Protocolo	Tabelas de estado	Esgotamento de recursos
7	Aplicação	Lógica de aplicação	Indisponibilidade de serviço

1. Ataques Volumétricos (Camada 3-4)

Sobrecarregam a largura de banda de rede com volumes massivos de tráfego.

Tipo de Ataque	Mecanismo	Volume Típico	Detecção
UDP Flood	Pacotes UDP aleatórios a portas aleatórias	10-1000+ Gbps	Pico de volume de tráfego
ICMP Flood	Requisições ping sobrecarregam o alvo	1-100 Gbps	Rate de ICMP
Amplificação	Tráfego refletido de terceiros	10-700 Gbps	Porta/protocolo fonte
DNS Amplification	Respostas DNS amplificadas 70x	10-500 Gbps	Ratio de resposta DNS
NTP Amplification	Respostas NTP monlist 100x	10-400 Gbps	Padrão de tráfego NTP
SSDP Amplification	Respostas UPnP discovery 30x	5-200 Gbps	Portas fonte SSDP

Exemplo de Ataque de Amplificação:

Atacante ──(pequena solicitação)──▶ Servidor Público ──(resposta grande)──▶ Vítima

Exemplo DNS Amplification:
Atacante envia: Query DNS de 60 bytes (IP fonte falsificada = IP vítima)
Servidor responde: Resposta DNS de 4000 bytes à vítima
Fator de amplificação: ~70x

2. Ataques de Protocolo (Camada 3-4)

Exploram fraquezas em protocolos de rede para esgotar recursos do servidor.

Tipo de Ataque	Mecanismo	Alvo de Recurso	Detecção
SYN Flood	Handshakes TCP incompletos	Tabela de conexões	Ratio SYN/ACK
ACK Flood	Pacotes ACK a conexões inexistentes	CPU de firewall	ACKs inválidos
SYN-ACK Flood	Respostas SYN-ACK falsificadas	Tracking de conexões	SYN-ACKs inesperados
FIN/RST Flood	Terminação anormal de conexão	Tabelas de estado	Rate FIN/RST
Smurf Attack	ICMP a endereços broadcast	Largura de banda de rede	Tráfego broadcast
Ping of Death	Pacotes ICMP sobredimensionados	Sistemas legacy	ICMP grande

Exemplo de SYN Flood:

Handshake TCP Normal:
Cliente ──SYN──▶ Server
Cliente ◀─SYN-ACK─ Server
Cliente ──ACK──▶ Server (Conexão estabelecida)

Ataque SYN Flood:
Atacante ──SYN──▶ Server (IP falsificada)
Server ◀─SYN-ACK─ (não vai a lugar nenhum)
Atacante ──SYN──▶ Server (IP falsificada)
Server ◀─SYN-ACK─ (não vai a lugar nenhum)
... (milhares mais)

Resultado: A tabela de conexões do servidor enche com conexões meio abertas
           Memória esgotada, conexões legítimas falham

3. Ataques de Camada de Aplicação (Camada 7)

Visam funções específicas de aplicação com requisições aparentemente legítimas.

Tipo de Ataque	Mecanismo	Recurso Alvo	Detecção
HTTP Flood	Requisições GET/POST massivas	Servidor web	Rate/padrão de requests
Slowloris	Transmissão lenta de headers HTTP	Pools de conexão	Rate de headers lento
Slow POST	Transmissão lenta de body de request	Threads de servidor	Duração longa de request
DNS Water Torture	Queries de subdomínios aleatórios	Servidor DNS	Rate de NXDOMAIN

Exemplo de Slowloris:

O atacante abre 100+ conexões ao servidor
Envia headers HTTP parciais lentamente:

Conexão 1: "GET / HTTP/1.1\r\nHost: target.com\r\nX-Header1: a"
Conexão 2: "GET / HTTP/1.1\r\nHost: target.com\r\nX-Header1: b"
...

A cada 10-15 segundos, envia dados de header adicionais para manter a conexão viva
O servidor mantém conexões abertas esperando headers completos
Pool de conexões esgotado, usuários legítimos não podem conectar

4. Ataques Multi-Vetor

Combinam múltiplos tipos de ataque simultaneamente para sobrecarregar defesas.

Combinação	Estratégia	Complexidade
Volumétrico + Aplicação	Saturar largura de banda enquanto ataca app	Média
SYN Flood + HTTP Flood	Esgotar conexões e recursos de app	Média
Amplificação + Protocolo	Saturação de rede + esgotamento de estado	Alta
Os três tipos	Máxima disrupção	Muito Alta

Estatísticas de Duração e Escala de Ataques

Métrica	Faixa Típica	Extremos Notáveis
Duração	10 min - 2 horas	24+ horas (sustentado)
Largura de banda	1-100 Gbps	3.47 Tbps (AWS, 2020)
Pacotes/seg	1-50 Mpps	809 Mpps (2024)
Requisições/seg	1K-1M RPS	71M RPS (HTTP/2, 2023)
Ataques concorrentes	1-3 tipos	12+ tipos simultaneamente

Frequência de Ataques (2025):

15+ milhões de ataques DDoS por ano globalmente
Média de 41,000 ataques por dia
25% dos ataques excedem 100 Gbps
Duração média: 30 minutos
60% visam aplicações web (Camada 7)

Estratégias de Mitigação

Mitigação de Ataques Volumétricos

Técnica	Como Funciona	Impacto de Latência
Traffic scrubbing	Filtrar tráfego atacante em centro de scrubbing	10-50ms
BGP routing	Rotear tráfego através de provedor de mitigação	Variável
Anycast	Distribuir tráfego através de rede global	Reduz congestionamento
Rate limiting	Limitar tráfego por IP fonte	<1ms

Mitigação de Ataques de Protocolo

Técnica	Como Funciona	Efetividade
SYN cookies	Manejo de SYN sem estado	Alta para SYN floods
Connection limiting	Limitar conexões por fonte	Média-Alta
TCP intercept	Proxy de conexões TCP	Alta
Firewall rules	Descartar padrões de ataque conhecidos	Média

Mitigação de Ataques de Aplicação

Técnica	Como Funciona	Efetividade
WAF rules	Bloquear padrões de request maliciosos	Alta
Rate limiting por URI	Limitar requests a endpoints específicos	Alta
CAPTCHA challenges	Verificar usuários humanos	Média-Alta
Bot detection	Identificar e bloquear tráfego de bots	Alta
Connection timeout	Fechar conexões lentas	Alta para Slowloris

Erros Comuns e Soluções

Erro: Confiar só em mitigação on-premise Solução: Use proteção DDoS baseada em cloud para ataques volumétricos que excedem sua largura de banda

Erro: Sem análise de tráfego baseline Solução: Estabeleça baselines de tráfego para detectar anomalias rapidamente; conheça seus padrões normais

Erro: Mitigar só na Camada 3-4 Solução: Ataques de Camada 7 requerem defesas de camada de aplicação (WAF, rate limiting, bot detection)

Erro: Sem plano de resposta a incidentes Solução: Documente procedimentos de resposta DDoS, rotas de escalada e templates de comunicação

Erro: Só mitigação manual Solução: Implemente detecção e mitigação automatizadas para responder em segundos, não minutos

Perguntas Frequentes

Qual é a diferença entre DDoS e DoS? DoS (Denial of Service) se origina de uma única fonte. DDoS (Distributed Denial of Service) usa múltiplas fontes—tipicamente milhares de dispositivos comprometidos—para gerar tráfego de ataque, tornando mais difícil de bloquear.

O que é uma botnet? Uma botnet é uma rede de computadores comprometidos, dispositivos IoT ou servidores controlados por um atacante. As botnets geram tráfego DDoS, enviam spam ou realizam outras atividades maliciosas sem conhecimento dos proprietários dos dispositivos.

Como funcionam os ataques de amplificação? Os ataques de amplificação enviam solicitações pequenas a servidores públicos com IPs fonte falsificadas (o endereço da vítima). Os servidores enviam respostas grandes à vítima, amplificando o tráfego 10-700x. Protocolos comuns de amplificação incluem DNS, NTP e SSDP.

Por que ataques de Camada 7 são mais difíceis de detectar? Ataques de Camada 7 usam requisições HTTP/HTTPS legítimas que parecem normais para dispositivos de rede. Não requerem largura de banda massiva, tornando mais difícil distingui-los de tráfego legítimo. Visam funções específicas de aplicação, requerendo detecção consciente de aplicação.

Quanto duram tipicamente os ataques DDoS? A maioria dos ataques DDoS duram 10-60 minutos. No entanto, ataques sofisticados podem persistir por horas ou dias, especialmente ataques de extorsão. Os ataques estendidos requerem capacidade de mitigação sustentada.

Sites pequenos podem ser alvos de DDoS? Sim. Os serviços DDoS-for-hire tornam ataques acessíveis ($5-50), então até sites pequenos são alvos. As motivações comuns incluem extorsão, competição e ataques ideológicos. Nenhum site é pequeno demais para precisar de proteção.

Qual é o custo do downtime por DDoS? Custo médio: $5,600-9,000 por minuto de downtime (Gartner). Os custos incluem perda de receita, produtividade, remediação e dano à reputação. Ataques estendidos podem custar milhões.

Como distingo um pico de tráfego de um ataque DDoS? Picos de tráfego de eventos legítimos (lançamentos de produtos, conteúdo viral) mostram padrões de request normais. Ataques DDoS mostram padrões anômalos: distribuição de fonte incomum, requests repetitivos, assinaturas de ataque conhecidas ou violações de protocolo.

Devo pagar uma demanda de extorsão DDoS? As autoridades e especialistas em segurança recomendam não pagar. O pagamento incentiva ataques futuros e não garante que o ataque pare. Em vez disso, implemente proteção DDoS e reporte às autoridades.

O que é mitigação DDoS como serviço? Os serviços de mitigação DDoS fornecem scrubbing de tráfego baseado em cloud. Durante ataques, o tráfego é roteado através da rede do provedor onde o tráfego malicioso é filtrado. O tráfego limpo chega aos seus servidores. Os provedores incluem plataformas cloud, CDNs e empresas de segurança especializadas.

Como implementar na Azion

A Azion fornece proteção DDoS integrada em todas as camadas:

Proteção de Camada de Rede: Mitigação automática de ataques volumétricos em localizações edge
Proteção de Protocolo: Suporte de SYN cookies e limitação de conexões
Proteção de Aplicação: WAF com rate limiting e bot detection para ataques de Camada 7
Distribuição Global: Rede anycast distribui tráfego de ataque através de múltiplas localizações

A plataforma distribuída da Azion detecta e mitiga ataques DDoS perto da fonte, protegendo sua infraestrutura enquanto mantém disponibilidade para usuários legítimos.

Saiba mais na Documentação da Azion.

Fontes:

Cloudflare. “DDoS Threat Report 2025.”
NETSCOUT. “Threat Intelligence Report.” 2025.
Radware. “Global Application & Network Security Report.” 2025.
Link11. “DDoS Statistics and Trends.” 2025.
NIST. “Guide to DDoS Attacks.” SP 800-83.

Entre em nossa comunidade