Ignore as manchetes do “maior ataque DDoS de todos os tempos” — é o efeito que importa

Outro dia, outro “maior ataque DDoS da história”.

‍

Você já viu as manchetes. Um fornecedor de segurança publica uma nova postagem. Os números são enormes. As paradas são dramáticas. E em algum lugar na mistura está a frase “quebrar recordes”. A conclusão implícita? Lidamos com algo enorme — confie em nós, nós temos isso.

‍‍

A Cloudflare é um dos players mais visíveis quando se trata dessas atualizações. E, para ser justo, dado seu tamanho e alcance global, provavelmente recebe mais tráfego de DDoS do que a maioria. Seus relatórios oferecem um vislumbre da escala do que está acontecendo lá fora — e faz um trabalho sólido ao transformar a telemetria em histórias digeríveis. Mas o problema é o seguinte: em 2025, o tamanho de um Ataque DDoS simplesmente não é a manchete que costumava ser.

‍

Maior é inevitável

Os tamanhos dos ataques estão aumentando. Essa não é uma tendência chocante — é um reflexo de como a infraestrutura evoluiu. Os dispositivos em 5G agora podem fazer upload a 10 Gbps. Os backbones das operadoras estão se movendo para um território de 400 Gbps. As botnets têm mais largura de banda e mais flexibilidade do que nunca. Então, sim, os ataques estão ficando maiores. Mas não é necessariamente porque as ameaças estão ficando mais inteligentes. Só que os canos são mais largos.

‍

Onde um ataque de 300 Gbps costumava parecer catastrófico, hoje é algo que se espera que a maioria das grandes redes resolva. Não são mais notícias de última hora — é esperado ruído de fundo.

‍

O que não é falado

Aqui está uma pergunta que você nem sempre vê respondida: Qual foi o impacto sobre os usuários reais? Os sites permaneceram responsivos? Houve atrasos no login? A sessão cai? O tempo limite de DNS ou as novas tentativas aumentaram? Porque quando um ataque atinge níveis de vários terabits, mesmo que seu sistema de mitigação mantenha a linha, as redes upstream — ISPs, IXPs, provedores de transporte público — podem já estar sob pressão.

‍

Esse tipo de congestionamento pode levar a efeitos colaterais. Não apenas para o alvo, mas para serviços vizinhos que compartilham as mesmas rotas ascendentes. Não é uma falha de mitigação — é uma limitação de como a Internet está interconectada. Mas raramente aparece no resumo.‍

‍

Às vezes, não se trata do tamanho

Há muitas situações em que um ataque pode parecer enorme na superfície — centenas de gigabits por segundo, grandes picos de tráfego, todos os ingredientes certos para uma manchete — mas o impacto real acaba dependendo do contexto, não dos números brutos.

‍

Um exemplo comum envolve empresas regionais que atendem principalmente a um público local. Essas organizações podem ser atingidas por ataques de alto volume que, à primeira vista, parecem justificar a mitigação em grande escala baseada na nuvem. E, em muitos casos, essa mitigação funciona conforme o esperado: o tráfego é absorvido, os serviços permanecem on-line e os gráficos contam uma história reconfortante.

‍

Mas sob o capô, as coisas ainda podem dar errado. Quando o ataque ultrapassa um determinado limite, algumas plataformas de mitigação redirecionam o tráfego dinamicamente, às vezes empurrando usuários locais legítimos para caminhos fora do país devido às políticas globais de roteamento anycast. Para aplicativos sensíveis à latência, essa distância adicional introduz atraso suficiente para interromper as sessões, diminuir a velocidade das respostas e degradar a experiência geral, mesmo que o ataque tenha sido mitigado “com sucesso”.

‍

O que muitas vezes é esquecido é que a maior parte do tráfego malicioso pode nem mesmo ser local. Uma grande porcentagem pode vir de fora do país ou da região, enquanto a carga real no país é mínima — talvez apenas alguns gigabits, bem dentro dos limites da infraestrutura local. Com uma engenharia de tráfego mais inteligente — filtrando o tráfego estrangeiro a montante e mantendo as rotas domésticas restritas — o problema poderia ter sido resolvido com muito menos interrupções.

‍

É um bom lembrete de que o tamanho nem sempre se correlaciona com a severidade. De onde vem o tráfego, como ele é roteado e como a mitigação interage com o comportamento do aplicativo desempenham um papel fundamental. Às vezes, a resposta mais eficaz é aquela que é menor, mais simples e melhor alinhada com a arquitetura real por trás do serviço.

‍

‍A história por trás dos gráficos

Para ser claro, há valor nessas postagens “recordes”. Eles aumentam a conscientização. Eles demonstram resiliência. E sim, eles tranquilizam os clientes. Se você está operando uma plataforma de grande escala, dizer às pessoas que você viu o pior e lidou com isso faz parte da construção de confiança.

‍

Mas também há um ritmo de marketing nisso. Os fornecedores não estão apenas publicando estatísticas — eles estão moldando uma história. Não é falso; é apenas como o setor se comunica. E algumas empresas são melhores contadoras de histórias do que outras. O risco, porém, é que confundimos volume com valor — e perca as perguntas mais importantes sobre quão bem o ataque foi contidoe se os usuários estavam protegidos de ponta a ponta.

‍

O que realmente importa

Então, talvez seja hora de começarmos a mudar a conversa. Em vez de nos concentrarmos no tamanho do ataque, vamos perguntar: a experiência do usuário foi afetada? A mitigação foi acionada automaticamente — e com rapidez suficiente? Houve efeitos em cascata nas redes vizinhas? Os serviços essenciais permaneceram ativos? Houve algum sucesso sutil no desempenho que passou despercebido até mais tarde?

‍

Esses são os tipos de perguntas com as quais as equipes de operações realmente se preocupam. Porque quando você está executando uma infraestrutura de produção, não se trata apenas de quanto tráfego foi bloqueado, mas de quão pouco alguém percebeu.

‍

Vamos reformular a narrativa

O cenário de DDoS está sempre evoluindo. Isso não vai mudar. E sim, ainda é útil acompanhar tendências e destacar recursos. Mas o volume de um ataque não é mais a parte mais importante da história. Não em um mundo em que o tamanho por si só não diz nada sobre o impacto a jusante. No final das contas, a verdadeira medida do sucesso não é quantos pacotes foram descartados. É se os usuários reais permaneceram conectados, responsivos e não foram afetados. Isso é algo mais difícil de medir — e uma história mais difícil de contar. Mas é o que importa.