O que é um ataque DDoS


O Distributed Denial of Service ou DDoS como é conhecido, é um ataque que tem como objetivo indisponibilizar uma aplicação, servidor ou rede para os usuários, deixando-o indisponível  temporariamente ou suspendendo o acesso do servidor.

Diferente do ataque de DoS (Denial of Service), que é realizado por apenas um computador e uma conexão de Internet, os ataques DDoS utilizam muitos computadores e diversas conexões, que normalmente são distribuídas ao redor do mundo e fazem parte de uma rede de computadores zumbis, também conhecidas como botnet.

Os ataques de DDoS podem ser divididos em 3 partes: ataques baseados em volume, em protocolos e aplicações. Vamos entender melhor cada um deles.

Ataques baseados em volume
O principal foco desse ataque é saturar o link do alvo com milhões de pacotes, isso inclui os ataques do tipo UDP floods e ICMP floods. A forma utilizada para mensurar esse tipo de ataque é o BPS (bits por segundo)

Ataques baseados em protocolos
Esse tipo de ataque irá consumir os recursos do servidor ou dos equipamentos que fazem o intermédio das aplicações, como os firewalls e load balancers. Neste tipo de ataque, podemos citar como exemplo os ataques do tipo SYN flood, Ping of Death, Smurf DDoS entre outros. A forma utilizada para mensurar esse tipo de ataque é a pacotes por segundo.

Ataques baseados em aplicações
Esse ataque normalmente é direcionado para aplicações web e tem como objetivo derrubar ou consumir todos os recursos da aplicação. Neste tipo, as requisições são muitos parecidos como a de um visitante comum no site, porém milhares começam a acontecer ao mesmo tempo. A forma utilizada para mensurar esse tipo de ataque é as requisições por segundo.

Os ataques de DDoS estão crescendo rapidamente nos últimos meses, tanto em tempo como em volume e esse aumento tem como principal fator o crescente número de botnet.

As razões para ocorrerem um ataque desse tipo também podem ser variadas, mas conseguimos classificá-las como:

  • Hacktivistas: que normalmente envolvem uma causa política;
  • Extorsões: onde é requerido um pagamento antes de realizar o ataque;
  • Competidores: você que possui um e-commerce, imagine quanto seu concorrente faturaria se sua loja estiver offline na Black Friday, e
  • “Black Hats”: que podem fazer isso por pura diversão.


Como detectar o ataque
Geralmente esse tipo de ataque ocorre durante a noite, finais de semana e feriados que normalmente é quando a equipe de TI não está 100% ativa na empresa. A detecção pode ser tanto automática como manual.

O que tenho visto hoje nas empresas são detecções manuais, que acontecem quando o ataque já esta em curso e as aplicações do cliente já se encontram offline durante um período, basicamente a principal métrica para detectar manualmente um ataque é o consumo de link, seguido de consumo dos recursos do firewall, load balance e por último dos servidores e aplicações, sendo que todas podem ser baseadas em uma média de consumo.

Já na detecção automática, além de ter um tempo de resposta muito menor, é possível “aprender” com a aplicação atual monitorando o comportamento e, quase que de forma instantânea, bloquear um ataque DDoS em curso. Isso permite que você consiga tomar uma decisão com o objetivo de não deixar sua aplicação indisponível para seus clientes.


Se você possui um negócio online, procure avaliar os riscos e conhecer as soluções disponíveis com o objetivo de prevenir e/ou começar a desenvolver um plano de ação para que este tipo de ataque não aconteça. Caso já tenha acontecido, avalie quais foram os impactos, qual foi o tipo de ataque e como você poderá se prevenir caso volte a acontecer, além disso o investimento em segurança diminui o risco que um incidente pode causar a imagem do seu negócio e aumenta a sua credibilidade junto aos clientes!


EmoticonEmoticon