O problema dos ataques distribuídos de negação de serviço é o seguinte: durante anos, inundações em escala de terabits foram o principal problema. segurança cibernética equivalente a uma tempestade de cem anos.
Você leria sobre eles em relatórios de incidentes, assentiria gravemente e voltaria a se preocupar com ransomware. 2025 acabou com essa abstração confortável.
Lidera pesquisas de segurança para Nokia Deepfield.
Os ataques DDoS de nível Terabit são agora uma ocorrência diária para os principais provedores de telecomunicações. Não semanalmente. Não “várias vezes por mês”. Diário. O primeiro ataque superior a 10 Tbps ocorreu em setembro. Em outubro, estávamos rastreando incidentes acima de 30 Tbps.
A indústria já se prepara para 100 Tbps: não como um limite teórico, mas como um marco inevitável. O que mudou? Tudo, ao que parece.
O problema dos cinco minutos
Comece com o tempo. Em 2024, cerca de 44% das campanhas DDoS foram concluídas em cinco minutos. Este ano, esse número saltou para 78%, e mais de um terço deles foram concluídos em menos de dois minutos.
Se os seus sistemas de detecção e mitigação não puderem responder no momento rede limite em sessenta segundos, você estará realizando uma análise pós-incidente, não uma defesa.
Isso não significa que os invasores estão ficando preguiçosos. É o oposto: as campanhas tornaram-se orquestradas por algoritmos, percorrendo vetores de ataque mais rápido do que os operadores humanos conseguem responder a eles.
Um ataque automatizado típico pode começar com um bombardeio de tapete TCP, girar para inundações UDP quando detectar a ativação de contramedidas, adicionar alguma amplificação de DNS e terminar com uma inundação SYN de alta taxa – tudo dentro de três minutos, cada onda calibrada para os limites de resposta do defensor.
Os ataques não são apenas mais rápidos. Eles são mais espertos. Os sistemas agora monitoram o comportamento dos defensores em tempo real, ajustando parâmetros como algoritmos de negociação de alta frequência que respondem às condições do mercado. Quando sua mitigação entra em ação, o ataque gira. Quando você se adapta, ele gira novamente.
A chamada vem de dentro de casa
A mudança mais fundamental envolve a origem do tráfego de ataque. As botnets DDoS tradicionais dependiam de dispositivos IoT comprometidos: câmeras, DVRs, roteadores com portas expostas e parquímetros ocasionais.
No pico, a população total de bots ativos em todas essas redes fragmentadas poderá atingir um milhão de dispositivos, sem que nenhuma botnet controle mais do que uma fração. Essa era está terminando.
As redes proxy residenciais montaram discretamente algo muito maior: cerca de 100 a 200 milhões de terminais de consumo capazes de retransmitir tráfego sob comando. Estes não estão expostos servidores.
Eles são dispositivos domésticos comuns (caixas Android TV baratas executando firmware de código aberto não certificado, telefones celulares com “grátis” VPN aplicativos, roteadores domésticos backdoor) atrás do NAT, invisível para varredura externa.
Como isso aconteceu? Siga a economia. As empresas de IA precisam de conjuntos de dados massivos para treinamento, e o web scraping em escala requer o uso de endereços IP em constante rotação para evitar a detecção.
Os serviços de proxy residencial fornecem exatamente isso: milhões de IPs de consumidores “limpos” que parecem tráfego legítimo. A procura criou um mercado paralelo próspero e os criminosos reconheceram uma oportunidade.
Há um velho ditado de açougueiro: tout est bon dans le cochon, tudo no porco é bom. Os operadores destas redes levaram isso a sério. Dispositivos recém-comprometidos servem primeiro como saídas de proxy premium, gerando receita de clientes legítimos que precisam de IPs residenciais para web scraping, verificação de anúncios ou pesquisa de mercado.
Uma vez que o uso repetido degrada a pontuação de reputação de um IP, esse mesmo endpoint faz a transição para operações DDoS de aluguel. Cada nó é monetizado duas vezes.
A escala é impressionante. Aproximadamente 4% das conexões domésticas globais de Internet estão agora disponíveis como infraestrutura de ataque latente. Só o Brasil hospeda aproximadamente 25 milhões de nós proxy.
A capacidade agregada de largura de banda dessas redes excede 100 Tbps – mais do que a maioria dos backbones nacionais de Internet pode absorver. E as implementações de fibra gigabit simétrica continuam piorando a matemática: a largura de banda upstream média por endpoint comprometido aumentou 75% ano após ano na América do Norte.
O que isso significa para os defensores
A realidade incômoda é que as defesas DDoS de ontem foram projetadas para os ataques DDoS de ontem. Runbooks manuais e janelas de resposta de quinze minutos presumiam que os ataques durariam o suficiente para invocá-los. Os limites estáticos presumiam que os invasores não investigariam para determinar exatamente onde estavam esses limites.
A defesa moderna exige três coisas às quais as organizações têm resistido historicamente: automação, escala e integração de inteligência. Automação é necessário porque os humanos não conseguem igualar as velocidades de ataque algorítmicas.
Escala porque inundações de terabits exigem capacidade de absorção de classe de terabits na borda da rede, e não em um centro de depuração distante. A inteligência é necessária porque a identificação do tráfego de ataque de IPs residenciais que parecem idênticos aos de usuários legítimos exige análise comportamental, e não simples listas de bloqueio.
A tendência do bombardeio em massa acrescenta outra complicação. Mais da metade dos ataques agora têm como alvo vários hosts simultaneamente, espalhando o tráfego por toda a rede, em vez de focar em alvos únicos.
Essa técnica dilui os limites tradicionais de detecção por host e pode sobrecarregar segmentos de rede mesmo quando hosts individuais permanecem abaixo dos níveis de alerta.
E agora?
Nada disto é intransponível, mas exige o abandono de pressupostos que serviram bem durante uma década. As redes devem evoluir de processos reativos e manuais para arquiteturas proativas e autodefensivas: sistemas que detectem, mitiguem e se adaptem sem esperar pela intervenção humana.
Os atacantes já fizeram essa transição. A questão é quantos defensores conseguirão alcançá-lo antes do próximo salto de ordem de grandeza.
Confira nossa lista da melhor proteção DDoS.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não são necessariamente da TechRadarPro ou Future plc. Se você estiver interessado em contribuir saiba mais aqui: https://www.techradar.com/news/submit-your-story-to-techradar-pro