Escrito por Rodrigo Montoro
A disponibilidade digital se tornou um requisito básico para qualquer negócio que opere online. Sistemas fora do ar, mesmo por poucos minutos, hoje representam mais do que um problema técnico: significam perda de receita, quebra de confiança e impacto direto na experiência do cliente.
Em um cenário de aplicações expostas à internet, APIs abertas, integrações em tempo real e alta dependência de serviços digitais, ataques que exploram a indisponibilidade ganham cada vez mais espaço. Entre eles, os ataques de negação de serviço se destacam por exigir pouco esforço do atacante e causar efeitos imediatos na operação.
Entender como esses ataques funcionam, quais riscos representam e como se proteger deixou de ser uma preocupação exclusiva da infraestrutura e passou a ser parte essencial da estratégia de segurança das empresas.
O que é um ataque DoS?
DoS é a sigla para Denial of Service, ou negação de serviço. Em termos práticos, é quando alguém tenta deixar um sistema indisponível de propósito, sobrecarregando recursos como banda, CPU, memória, conexões ou filas de requisições. O objetivo costuma ser fazer um site, aplicação, API, DNS ou serviço essencial parar de responder, ficar lento ou cair.
Quando o ataque vem de uma única origem, chamamos de DoS. Quando vem de muitas origens ao mesmo tempo, normalmente de uma botnet com milhares ou milhões de dispositivos comprometidos, aí estamos falando de DDoS, Distributed Denial of Service. Na prática, é o formato mais comum hoje, justamente porque escala com facilidade e dificulta bloqueios simples.
Para dimensionar o tamanho do problema, o relatório de DDoS da Cloudflare indica que a empresa mitigou 8,3 milhões de ataques DDoS no terceiro trimestre de 2025 e 36,2 milhões no acumulado de 2025 até aquele momento.
Quais são os principais tipos de ataques DoS?
Ataques de DoS e DDoS variam bastante, mas em geral eles se agrupam por “onde” tentam pressionar sua infraestrutura. Entender essas categorias ajuda a escolher controles mais assertivos, porque cada tipo exige uma linha de defesa diferente.
Ataques por volume
O atacante envia uma quantidade enorme de tráfego para saturar a banda do alvo ou do provedor. Mesmo que seu servidor seja perfeito, ele pode ficar inacessível simplesmente porque a conexão não dá conta.
Eles costumam explorar protocolos como UDP e usar reflexões e amplificações para gerar muito tráfego com pouco esforço. O resultado é lentidão, perda de pacotes, timeouts e queda.
No mesmo relatório, a Cloudflare destaca picos de ataques hiper-volumétricos em 2025, incluindo um ataque com pico de 29,7 Tbps atribuído à botnet Aisuru.
Ataques por protocolo
Aqui o alvo não é exatamente a banda, mas o comportamento dos protocolos e do estado de conexões. A ideia é consumir tabelas de conexão, filas e recursos de rede explorando como sistemas e equipamentos lidam com handshakes, pacotes incompletos e padrões maliciosos.
Exemplos comuns incluem variações de SYN flood, ataques a equipamentos intermediários e exploração de limites de conexão. Quando o gargalo aparece, aplicações que estavam saudáveis passam a falhar por efeito cascata.
Ataques por camada de aplicação
Esse é o tipo mais traiçoeiro para muita empresa, porque pode parecer tráfego legítimo. Em vez de mandar “muito tráfego bruto”, o atacante manda requisições que custam caro para sua aplicação responder.
Pode ser um pico de requisições a endpoints específicos, abuso de busca, filtros, geração de relatórios, login, carrinho, validações, chamadas a APIs ou qualquer funcionalidade que acione banco de dados e integrações. Muitas vezes o volume nem é absurdo, mas a relação custo-resposta derruba a aplicação.
Esses ataques também costumam ser curtos e repetidos, buscando janelas de pico comercial ou horários críticos. Um dado útil para resposta é que, segundo o relatório da Cloudflare, a maioria dos ataques HTTP (71%) termina em até 10 minutos, o que exige detecção e mitigação muito rápidas.
Como um ataque DoS pode afetar seu sistema?
Quando a disponibilidade vira o alvo, o impacto raramente fica restrito à TI. Ataques DoS costumam gerar efeitos em cadeia, principalmente em ambientes com integrações, múltiplos fornecedores e dependências críticas.
Impactos em websites e servidores
Em um cenário típico, o tráfego malicioso pressiona o front-end, derruba o balanceador, esgota conexões no gateway de API e começa a contaminar o back-end. Bancos de dados entram em contenção, filas crescem, serviços começam a retornar erro, e o time entra em modo reativo tentando “apagar incêndio”.
Do lado do usuário, isso vira lentidão, falhas de pagamento, carrinho resetado, login indisponível e abandono. Do lado interno, vira tickets, retrabalho, perda de rastreabilidade e decisões sob pressão.
Danos à reputação e perdas financeiras
DoS não precisa roubar dados para causar prejuízo. Se o serviço para, você perde receita e confiança.
A reputação é particularmente sensível porque o cliente não diferencia se foi ataque, falha técnica ou falta de preparo. A percepção é simples: “eu tentei acessar e não funcionou”.
Isso pesa ainda mais quando o incidente acontece em datas de alta demanda, em lançamentos, em viradas de mês, em eventos ou durante janelas regulatórias. Nesses momentos, disponibilidade é experiência, e experiência é marca.
Consequências para empresas e usuários comuns
Para empresas, DoS impacta continuidade operacional, SLAs, relacionamento com parceiros, atendimento e indicadores. Para usuários, o prejuízo pode ir de frustração a danos reais, como não conseguir pagar uma conta, acessar um serviço essencial ou concluir uma compra.
Também existe um ponto pouco lembrado. Ataques DoS às vezes são usados como “cortina de fumaça” para desviar a atenção enquanto outra tentativa acontece em paralelo, como exploração de vulnerabilidade, fraude, credential stuffing ou movimentação lateral. Mesmo quando o incidente parece “apenas disponibilidade”, ele merece investigação.
Estratégias para proteger seu sistema contra ataques DoS
Não existe uma única “bala de prata”. A proteção eficaz combina arquitetura, controles de rede, postura de aplicação, observabilidade e um plano claro de resposta. Abaixo estão as frentes que costumam trazer mais resultado no mundo real.
Configuração de firewall e IDS/IPS
Firewall e IDS/IPS ainda são parte importante do jogo, mas precisam estar bem ajustados. Regras genéricas demais viram ruído, enquanto regras restritivas demais derrubam tráfego legítimo.
O objetivo é bloquear padrões óbvios, reduzir a superfície exposta e criar camadas. Em especial, vale revisar limites de conexão por origem, filtros por país quando fizer sentido, assinaturas relevantes e políticas específicas para serviços críticos.
Limitação de conexões e timeout de sessões
Limites e timeouts são detalhes que salvam sistemas. Muitos ataques de protocolo e camada de aplicação exploram sessões longas, filas que não drenam e conexões que ficam abertas.
Algumas medidas que costumam ser decisivas incluem ajustar timeouts de keep-alive, limitar conexões simultâneas por IP, aplicar filas com descarte controlado e proteger endpoints caros com limitação por rota.
Monitoramento de tráfego em tempo real
Monitoramento de tráfego em tempo real significa ver volumetria, padrões por rota, distribuição geográfica, picos por ASN, mudanças no mix de protocolos e comportamento por agente. Isso também inclui alertas bem configurados, com thresholds realistas e contexto.
Proteção de servidores DNS
DNS é um alvo frequente porque, se o DNS falha, muita coisa falha junto. Ataques podem mirar o serviço autoritativo, o recursor, o provedor ou o próprio plano de controle.
As defesas passam por redundância, uso de provedores com capacidade de absorção, políticas contra amplificação, rate limiting e observabilidade. Vale também revisar TTLs e estratégia de failover, porque em incidentes reais isso faz diferença.
Redução da superfície de ataque
Quanto menos coisa exposta, menos coisa para derrubar. Reduzir a superfície de ataque é uma estratégia prática e muitas vezes subestimada.
Isso envolve fechar portas que não deveriam estar abertas, restringir painéis administrativos, proteger APIs internas, exigir autenticação forte em serviços sensíveis e segmentar corretamente ambientes e redes. Também inclui rever integrações que “vazam” endpoints desnecessários para a internet.
Manutenção de software atualizado
Atualização não é apenas sobre correção de falhas “clássicas”. Em DoS, versões antigas podem ter limitações de performance, bugs em tratamento de conexões, falhas em bibliotecas e problemas em módulos que lidam com compressão, parsing e controle de sessão.
Manter software atualizado melhora resiliência, diminui falhas exploráveis e facilita mitigação. E isso vale tanto para sistemas operacionais quanto para servidores web, balanceadores, proxies, frameworks e bibliotecas.
Backup e plano de resposta a incidentes
Backup não impede DoS, mas um plano de resposta bem definido reduz tempo de indisponibilidade e evita decisões improvisadas.
O ideal é ter playbooks claros, com responsáveis, contatos de provedores, critérios de escalonamento, ações de mitigação por tipo de ataque e rotinas de comunicação. Aqui, maturidade operacional faz diferença.
Um bom plano também considera como manter o negócio funcionando de forma degradada, por exemplo desativando temporariamente funcionalidades caras, alternando rotas, aplicando proteções por prioridade e preservando canais essenciais de atendimento.
