O provedor estava fora do ar. Nenhum cliente conseguia acessar a internet. O telefone não parava de tocar. E o ataque tinha custado menos de R$ 40 para ser contratado na dark web.
Um ataque DDoS pode ser encomendado por qualquer pessoa, em qualquer lugar, com menos dinheiro do que um tanque de gasolina. A infraestrutura que recebe o ataque, por outro lado, pode levar dias para se recuperar, e algumas empresas nunca se recuperam.
O Brasil é o país mais atacado da América Latina por ataques DDoS. No primeiro semestre de 2025, foram mais de 550 mil ataques registrados, um aumento de 54% em relação ao período anterior, segundo o relatório da NETSCOUT.
Esse número coloca o Brasil ao lado de Estados Unidos, Índia e Irã entre os principais alvos globais.
Para ISPs, MSPs e PMEs, entender o que é um ataque DDoS, como ele funciona e por que ele é fundamental. Exatamente o que iremos te mostrar nesse artigo.
O que é um ataque DDoS e por que ele é tão destrutivo?
DDoS significa Distributed Denial of Service, ou Negação de Serviço Distribuída. O objetivo é simples: sobrecarregar o link de internet ou os servidores do alvo com um volume de tráfego que a infraestrutura não consegue suportar, derrubando os serviços para os usuários legítimos.
A palavra "distribuído" é o que torna esse ataque especialmente difícil de conter. O tráfego malicioso não vem de um único endereço IP que pode ser bloqueado. Ele vem de milhares, às vezes centenas de milhares de dispositivos comprometidos ao mesmo tempo, formando o que chamamos de botnet.
Esses dispositivos podem ser computadores, roteadores, câmeras de segurança, smart TVs, qualquer equipamento conectado à internet que tenha sido infectado e está sendo controlado remotamente sem que o dono saiba.
Quando esse exército de dispositivos aponta para o mesmo alvo simultaneamente, o resultado é um volume de tráfego que pode chegar a terabits por segundo.
O maior ataque registrado no Brasil ocorreu em 5 de janeiro de 2024, com pico de 4 Tbps e taxa de transferência de 350 Mpps, segundo dados da NETSCOUT. Para ter uma referência: um link corporativo típico de uma PME opera com capacidade de alguns gigabits.
A diferença de escala é de quatro ordens de magnitude.
Existem diferentes tipos de ataque DDoS, cada um mirando uma camada diferente da infraestrutura.
Os ataques volumétricos saturam o link de internet com tráfego bruto. Os ataques de protocolo exploram vulnerabilidades nos protocolos de comunicação como TCP e UDP para exaurir recursos dos equipamentos de rede.
Os ataques de camada de aplicação são mais sofisticados: simulam requisições legítimas de usuários, tornando a detecção mais difícil e impactando diretamente os serviços que os clientes usam.
Um dos vetores mais perigosos para ISPs e PMEs é o ataque de amplificação DNS. O atacante envia uma pequena solicitação a servidores DNS públicos abertos, usando o endereço IP do alvo como remetente falso.
O servidor DNS responde com uma mensagem muito maior diretamente para o alvo. Com centenas de servidores DNS sendo usados como amplificadores, o volume de tráfego que chega ao alvo pode ser dezenas de vezes maior que o originalmente enviado pelo atacante.
O alvo preferido: por que ISPs e PMEs estão na mira?
Os números do Brasil em 2025 revelam um padrão claro sobre quem está sendo atacado.
As operadoras de telecomunicações móveis foram as principais vítimas no primeiro semestre de 2025, com mais de 170 mil ataques. Em seguida aparecem os provedores de hospedagem e computação em nuvem, com quase 33 mil incidentes, e outras empresas de telecomunicações, com 14,7 mil.
Apenas no segundo semestre de 2024, as operadoras de telecomunicação sem fio sofreram cerca de 48.845 ataques DDoS, com picos de tráfego chegando a 433 Gbps.
ISPs são alvos prioritários por uma razão lógica: quando o provedor cai, todos os seus clientes caem junto. Um único ataque bem-sucedido contra um ISP regional pode derrubar a conectividade de centenas ou milhares de empresas e residências simultaneamente.
Para os atacantes, o retorno é alto, para o ISP, as consequências são proporcionalmente devastadoras.
As PMEs são alvos crescentes por uma razão diferente: são percebidas como mais vulneráveis.
A Kaspersky identificou crescimento de 340% em ataques direcionados a PMEs entre 2023 e 2025. Esse número não é coincidência. À medida que grandes empresas investem em proteção robusta, os atacantes migram para alvos com menor capacidade de defesa e menor probabilidade de resposta organizada.
O dado que mais preocupa: 60% das pequenas empresas fecham as portas em até 6 meses após um ataque significativo, segundo a National Cyber Security Alliance.
No contexto brasileiro, com margens operacionais estreitas e acesso limitado a crédito emergencial, esse risco é ainda mais concreto.
O custo real de ficar fora do ar
A conversa sobre DDoS frequentemente fica no técnico: volumes de tráfego, tipos de ataque, vetores de amplificação. O que precisa entrar nessa conversa, especialmente para gestores e proprietários de empresas, é o custo financeiro de cada minuto de downtime.
Segundo dados da Gartner, ao sofrer um ataque cibernético e ficar fora de operação, uma empresa pode ter prejuízos de até US$ 5.600 por minuto, ou mais de US$ 300 mil por hora.
Para um ISP regional com centenas de clientes, cada hora fora do ar representa contratos de SLA descumpridos, chamados de suporte em volume que o time não consegue absorver, e clientes buscando alternativas.
A rescisão de contratos, ações no PROCON e sobrecarga no atendimento são consequências documentadas e previsíveis.
Para uma PME que depende da conectividade para operar, o impacto é direto: sistemas de ponto de venda offline, acesso a sistemas em nuvem interrompido, comunicação com clientes e fornecedores paralisada.
Em setores como saúde, logística e serviços financeiros, onde a continuidade operacional é crítica, cada minuto tem um custo mensurável.
Um estudo da IBM sobre a América Latina indica que, em média, o custo de uma violação em downtime, negócios não concluídos, prejuízo de marca e, em alguns casos, empresas que não conseguem se recuperar, pode chegar a US$ 3,22 milhões.
Há outro custo que raramente aparece nos cálculos iniciais: o ataque DDoS como distração.
Ataques DDoS muitas vezes servem de cortina de fumaça para invasões mais graves, derrubando sistemas de segurança ou distraindo as equipes de TI enquanto uma invasão mais silenciosa acontece em paralelo.
O downtime visível é o que aparece nos relatórios. O que entrou pela janela enquanto todo mundo estava apagando o incêndio na porta pode demorar meses para ser descoberto.
Como um ataque DDoS pode falir um ISP?
O cenário é mais comum do que os números de reportagem sugerem, porque a maioria dos ISPs regionais que fecham após um ataque não vira notícia.
Um ISP de pequeno porte opera com margens apertadas. A receita depende diretamente da prestação contínua do serviço de conectividade. Quando um ataque DDoS satura o link de upstream, o que acontece não é apenas uma interrupção temporária. É uma cascata de consequências.
O link de upstream pode cobrar pelo tráfego excedente gerado pelo ataque. Dependendo do contrato, o ISP paga pelo volume de dados que passou pela infraestrutura, incluindo o tráfego malicioso.
Em ataques volumétricos de grande escala, esse custo pode ser expressivo e inesperado.
Os clientes que ficaram sem internet acionam o suporte. O time de atendimento, geralmente reduzido em ISPs regionais, é incapaz de dar conta do volume. A insatisfação cresce, clientes cancelam e os processos são abertos.
A recuperação técnica exige investimento emergencial em equipamentos, serviços de mitigação e eventual contratação de especialistas externos. Esse investimento, não planejado e urgente, impacta diretamente o fluxo de caixa.
O ISP que não tinha proteção antes do ataque precisa contratar proteção depois. O custo da proteção reativa é sempre maior que o custo da proteção preventiva. E nesse ponto, a empresa já está operando com receita reduzida, clientes perdidos e dívida de emergência.
Dependendo do método utilizado pelo atacante, a infraestrutura da vítima pode ficar saturada em poucos minutos.
O maior impacto é sentido diretamente nas infraestruturas dos ISPs, que podem não ser capazes de bloquear o tráfego malicioso proveniente desses ataques, fazendo com que seus servidores sofram com a sobrecarga.
Os caminhos de mitigação: o que funciona e o que não funciona?
Existe uma sequência lógica de medidas que reduzem a exposição a ataques DDoS.
A maioria das empresas conhece pelo menos parte dessa lista. O problema é que a maioria implementa apenas as camadas mais básicas e acredita estar protegida.
A primeira camada é o monitoramento de tráfego em tempo real.
Sem visibilidade sobre o que está trafegando na rede, é impossível identificar um ataque no momento em que começa. A detecção precoce não impede o ataque, mas reduz o tempo de resposta e limita o dano.
Já a segunda camada é a filtragem de tráfego na borda da rede.
Regras de firewall que bloqueiam padrões conhecidos de ataque, rate limiting por endereço IP e bloqueio de tráfego de origens suspeitas são medidas que reduzem o volume de tráfego malicioso que chega à infraestrutura crítica.
A terceira camada é a proteção no nível DNS.
Essa é onde a diferença entre ter e não ter proteção se torna mais evidente. O DNS é tanto um vetor de ataque frequente quanto um ponto de controle estratégico para a defesa.
A quarta camada é a redundância e o roteamento inteligente.
Distribuir o tráfego por múltiplos links e ter a capacidade de redirecionar tráfego automaticamente quando um link é atacado é o que separa uma infraestrutura resiliente de uma que fica refém do primeiro ataque volumétrico.
O que não funciona: confiar exclusivamente em regras de firewall estáticas. Ataques DDoS modernos evoluem durante a execução, mudando vetores e origens. Um firewall que só conhece ameaças catalogadas não consegue responder a variações em tempo real.
Edge DNS: proteção de borda que age antes do colapso
A proteção mais eficaz contra ataques DDoS é aquela que age antes que o volume malicioso chegue a saturar o link, na prevenção antes da conexão ser estabelecida.
O Edge DNS funciona exatamente nessa camada: na borda da rede, onde as requisições chegam antes de tocar na infraestrutura interna. Quando um ataque DDoS usa DNS como vetor de amplificação, o Edge DNS identifica o padrão de requisições anômalas e bloqueia antes que o volume se torne destrutivo.
Para ISPs, isso significa proteção que escala junto com o ataque.
O volume de requisições maliciosas pode crescer exponencialmente, mas a filtragem acontece na borda, antes de impactar os clientes conectados. A infraestrutura interna do ISP não vê o ataque porque o ataque foi contido antes de chegar.
Para um MSP que gerencia redes de múltiplos clientes, o Edge DNS entrega proteção uniforme em todos os pontos gerenciados sem exigir configuração individual por cliente. A política de proteção é definida uma vez e aplicada em toda a base.
O Edge DNS funciona como uma camada de inteligência automatizada que age antes do clique, antes da conexão, antes do dano. Quando um ataque começa a se formar, o Edge DNS já está bloqueando.
O Edge DNS vê o que está chegando e pergunta: isso é tráfego legítimo ou é um ataque?
Eleve a segurança na navegação e proteja a superfície digital da sua empresa com o Edge DNS. Clique no link abaixo e agende uma demonstração:
