O problema dos ataques distribuídos de negação de serviço é o seguinte: ao longo dos anos, inundações em escala de terabits têm sido o equivalente em segurança cibernética a uma tempestade de cem anos.
Você leu sobre eles em relatórios de incidentes, acenou com a cabeça consternado e voltou a se preocupar com ransomware. 2025 acabou com essa abstração confortável.
Lidera pesquisas de segurança na Nokia Deepfield.
Os ataques DDoS de nível Terabit são uma ocorrência diária para os principais provedores de telecomunicações. Nem todas as semanas. Nem “várias vezes por mês”. todos os dias O primeiro ataque de 10 Tbps ocorreu em setembro. Em outubro, rastreávamos eventos superiores a 30 Tbps.
A indústria já se prepara para 100 Tbps: não como um teto teórico, mas como um marco essencial. O que mudou? Tudo, aparentemente.
O problema dos cinco minutos
Comece com o tempo. Em 2024, aproximadamente 44% das campanhas DDoS terminaram em cinco minutos. Este ano, esse número subiu para 78%, mais de um terço dos quais foram recolhidos em menos de dois minutos.
Se os seus sistemas de detecção e mitigação não puderem responder na borda da rede em sessenta segundos, você estará fazendo uma análise pós-evento, não uma defesa.
Isso não torna os invasores preguiçosos. É o contrário: as campanhas foram orquestradas por algoritmos, percorrendo vetores de ataque mais rápido do que os operadores humanos conseguem responder a eles.
Um ataque automatizado típico pode começar com um bombardeio de tapete TCP, mudar para inundações UDP quando contramedidas são detectadas, adicionar alguma amplificação de DNS e terminar com uma inundação SYN de alta taxa – tudo dentro de três minutos, cada onda calibrada para os limites de resposta do defensor.
Os ataques não são apenas mais rápidos. Eles são mais inteligentes. Os sistemas monitorizam agora o comportamento dos defensores em tempo real, ajustando parâmetros como algoritmos de negociação de alta frequência que respondem às condições do mercado. Quando sua mitigação entra em ação, o ataque gira. Quando você ajusta, ele gira novamente.
A chamada vem de dentro de casa
A mudança fundamental envolve a origem do tráfego de ataque. As botnets DDoS tradicionais dependiam de dispositivos IoT vulneráveis: câmeras, DVRs, roteadores com portas expostas e parquímetros ocasionais.
No seu auge, a população ativa de bots em todas essas redes fragmentadas pode atingir um milhão de dispositivos, sem que nenhuma botnet controle mais do que uma fração. Essa era está chegando ao fim.
As redes residenciais montaram discretamente algo muito maior: cerca de 100 a 200 milhões de terminais de consumo capazes de retransmitir tráfego sob comando. Estes não são servidores expostos.
Esses são dispositivos domésticos comuns (caixas Android TV baratas com firmware de código aberto não certificado, telefones celulares com aplicativos VPN “gratuitos”, roteadores domésticos) atrás do NAT, invisíveis à verificação externa.
Como isso aconteceu? Siga a economia. As empresas de IA precisam de grandes conjuntos de dados para treinar, e a escala web exige o uso de endereços IP em constante rotação para evitar a detecção.
Os serviços de proxy residencial oferecem exatamente isso: milhões de IPs de consumidores “limpos” disfarçados de tráfego legítimo. A procura criou um mercado paralelo próspero e os criminosos reconheceram uma oportunidade.
Há um velho ditado de açougueiro: tout est bon dans le cochon, tudo no porco é bom. Os operadores destas redes levaram isso a sério. Os dispositivos recentemente comprometidos servem principalmente como pontos de proxy premium, gerando receita de clientes legítimos que precisam de IPs residenciais para web scraping, verificação de anúncios ou pesquisa de mercado.
O uso repetido degrada a pontuação de reputação de um IP, levando esse endpoint a recrutar operações DDoS. Cada nó ganha dinheiro duas vezes.
A escala é impressionante. Aproximadamente 4% das conexões domésticas globais de Internet estão disponíveis como infraestrutura de ataque oculta. Só o Brasil tem aproximadamente 25 milhões de nós proxy.
A largura de banda agregada destas redes excede 100 Tbps – mais do que a maioria das nações com backbones de Internet pode absorver. E as implantações simétricas de fibra gigabit continuam a piorar a matemática: a largura de banda média por endpoint comprometido cresceu 75% ano após ano na América do Norte.
O que isso significa para os defensores
A realidade inconveniente é que as defesas DDoS de ontem foram projetadas para os ataques DDoS de ontem. Runbooks manuais e janelas de resposta de quinze minutos presumiam que os ataques durariam o suficiente para serem chamados. Os limites estáticos presumiam que os invasores não pesquisariam para determinar exatamente onde esses limites estão localizados.
A defesa moderna exige três coisas com as quais as organizações têm lutado historicamente: automação, escala e integração de inteligência. A automação é necessária porque os humanos não conseguem igualar a velocidade dos ataques algorítmicos.
Escala porque inundações de terabits exigem capacidade de absorção de classe de terabits na borda da rede, e não em um centro de depuração remoto. A inteligência é necessária porque identificar o tráfego de ataque de IPs residenciais disfarçados de usuários legítimos requer análise comportamental, e não simples listas de bloqueio.
A tendência do bombardeio massivo acrescenta outra complicação. Mais da metade dos ataques têm como alvo vários hosts simultaneamente, espalhando o tráfego por toda a rede, em vez de focar em um único alvo.
Essa técnica dilui os limites tradicionais de detecção por host e pode inundar segmentos de rede mesmo quando hosts individuais estão abaixo dos níveis de alerta.
E agora?
Nada disto é intransponível, mas exige abandonar pressupostos que serviram bem durante uma década. As redes devem evoluir de processos reativos acionados manualmente para arquiteturas proativas de autodefesa – sistemas que detectem, mitiguem e se adaptem sem esperar pela intervenção humana.
Os invasores já fizeram essa transição. A questão é quantos defensores serão apanhados antes do salto para a próxima ordem de grandeza.
Confira nossa lista da melhor proteção DDoS.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
