theNet by CLOUDFLARE

Defender contra o aumento de ataques de DDoS na camada de aplicação

Aprimorar a resiliência de aplicativos com uma estratégia de três pilares

Os ataques de negação de serviço distribuída (DDoS) tornaram-se uma das ameaças mais comuns à camada de aplicação. E essas ameaças estão aumentando de tamanho. Elas inundam servidores e recursos de rede com tantas solicitações que podem sobrecarregar ou travar completamente o software, interrompendo operações críticas. Hoje, ataques de DDoS representam uma parcela significativa de todos os ataques ao tráfego de aplicativos web. Na verdade, eles representam 37% de todo o tráfego da camada de aplicação que a Cloudflare considerou malicioso e bloqueou em 2024.

Infelizmente, está se tornando mais fácil para os cibercriminosos lançar ataques de DDoS na camada de aplicação. Eles estão constantemente utilizando novas ferramentas e adotando novas táticas para otimizar seu trabalho malicioso. Por exemplo, serviços de DDoS-for-hire "booster" e scripts de ataque com tecnologia de IA reduziram a barreira de entrada para os invasores Atualmente, os cibercriminosos conseguem lançar ataques de forma mais rápida e barata do que nunca. Eles também estão produzindo ataques maiores e mais sofisticados, como os novos eventos que quebram recordes que temos visto a cada trimestre.

Ao mesmo tempo, os cibercriminosos estão aprimorando sua capacidade de localizar alvos e evitar a detecção. Por exemplo, eles estão se aprimorando no uso de táticas de reconhecimento para encontrar APIs vulneráveis. E estão usando botnets para simular o comportamento real de usuários e burlar as ferramentas de segurança.

Os principais CIOs priorizaram o fortalecimento das defesas contra ataques de DDoS na camada de aplicação. Para impedir esses ataques, as equipes de segurança precisam primeiro entender como eles funcionam, por que são tão difíceis de detectar e como podem afetar sua organização. Em seguida, é possível implementar uma estrutura estratégica com os recursos essenciais para interromper ataques e melhorar a resiliência.

Entender a evolução das ameaças na camada de aplicação

Os ataques de DDoS na camada de aplicação (ou camada 7) adotam uma abordagem mais focada do que os ataques de DDoS de rede típicos (camada 3 ou 4). Enquanto ataques de rede tentam causar interrupções generalizadas, ataques de DDoS na camada de aplicação se concentram em interromper fluxos de trabalho e serviços críticos para as empresas. Eles podem ter como alvo páginas de login, APIs ou gateways de pagamento, tentando interromper uma funcionalidade específica sem necessariamente afetar toda a infraestrutura de rede.

Ataques na camada de aplicação também são eventos de menor volume em comparação com ataques de rede. Eles são projetados para parecerem "normais" ao aderir aos protocolos de aplicação. Os invasores podem criar solicitações que parecem válidas, como tentativas de login ou consultas de pesquisa, para sobrecarregar componentes de software específicos. Os ataques podem transmitir pequenas quantidades de tráfego malicioso por um longo período de tempo para evitar a detecção. Ataques de baixa velocidade visam sobrecarregar o servidor ou banco de dados que suporta o aplicativo, consumindo recursos como ciclos de CPU, memória e conexões de banco de dados.

Essa abordagem de menor volume faz parte do que torna os ataques na camada de aplicação tão difíceis de detectar. Esses ataques ignoram as defesas de rede tradicionais que se baseiam em limites de volume de tráfego. A mitigação eficaz requer uma estratégia adaptativa que analisa a qualidade, o contexto e a intenção do tráfego, indo além da simples medição da quantidade do tráfego.

Identificar vetores de ataque e técnicas comuns

Os cibercriminosos usam diversas técnicas para atacar a camada da aplicação. Algumas têm como alvo diferentes elementos e vulnerabilidades, enquanto outras adotam abordagens distintas para sobrecarregar servidores. As seis técnicas mais comuns são:

  1. Inundações HTTP/HTTPS: esses tipos de ataques sobrecarregam os servidores web com um alto volume de solicitações HTTP GET ou POST, consumindo recursos e causando um estado de negação de serviço para usuários legítimos.

  2. Inundações de consultas de DNS: os invasores podem inundar serviços de DNS com consultas, o que pode causar um efeito cascata, tornando todos os softwares e serviços dependentes inacessíveis.

  3. Ataques low-and-slow: esses ataques, como o Slowloris e o R.U.D.Y., estabelecem e mantêm conexões lentas e incompletas com uso mínimo de largura de banda para esgotar os recursos do servidor e evitar a detecção.

  4. Ataques específicos contra APIs: com o aumento das arquiteturas API-first, os cibercriminosos estão cada vez mais visando endpoints de API específicos para tirar um serviço inteiro do ar.

  5. Exploração de vulnerabilidades de aplicativos: estes ataques também podem explorar vulnerabilidades como injeção de SQL e cross-site scripting (XSS) para roubar dados ou comprometer sistemas.

  6. Técnicas emergentes: os invasores continuam a desenvolver novas técnicas, como a técnica usada nos ataques HTTP/2 Rapid Reset há alguns anos. Atualmente, eles também utilizam botnets que randomizam o movimento do mouse, mantêm cookies de sessão, variam os cabeçalhos de solicitações e visitam várias páginas em um site, tudo para simular o comportamento humano e evitar a detecção antes de um ataque.

Algumas dessas técnicas confundem a linha entre DDoS e táticas mais gerais da camada de aplicação. Elas são usadas tanto para exfiltração de dados quanto para negação de serviço. Para combater essas ameaças, as organizações devem integrar sua estratégia de defesa contra DDoS à segurança geral de aplicativos.

Elaborar uma estratégia para impedir ataques na camada de aplicação

A defesa contra ataques de DDoS na camada de aplicação exige uma abordagem sofisticada e multifacetada que vai além das defesas tradicionais contra DDoS baseadas em volume. Essa abordagem deve combinar detecção avançada, prevenção e mitigação, e uma arquitetura de segurança adaptativa.

Detecção avançada

As estratégias de detecção modernas devem ser capazes de identificar a imitação utilizada pelos invasores. As soluções de análise de comportamento de usuários e entidades (UEBA) primeiro estabelecem uma linha de base de comportamento “normal” por meio do monitoramento contínuo do tráfego no nível do aplicativo. Em seguida, essas soluções aplicam análise comportamental e recursos de aprendizado de máquina para identificar anomalias que possam indicar um ataque. O monitoramento em tempo real de métricas de desempenho de aplicativos, como utilização da CPU e consumo de memória, também fornece indicações precoces de um ataque.

As organizações devem complementar esses recursos com inteligência contra ameaças em tempo real, obtida de grandes redes globais baseadas em nuvem. As equipes também podem identificar e bloquear preventivamente endereços de IP maliciosos ou botnets usando firewalls de aplicativos web (WAFs).

Prevenção e mitigação

Além da detecção, as organizações devem implementar diversas táticas de prevenção e mitigação para aumentar a resiliência do software. Por exemplo, a limitação de taxa inteligente evita que solicitações excessivas esgotem os recursos. Os WAFs filtram e bloqueiam o tráfego malicioso, enquanto os gateways de segurança de APIs filtram as chamadas de API maliciosas. Um modelo Zero Trust reduz a superfície de ataque e controla o acesso aos aplicativos, mesmo se as credenciais do usuário estiverem comprometidas.

Para mitigar ataques, as organizações podem implementar uma rede de distribuição de conteúdo (CDN), que distribui conteúdo de aplicativos globalmente, absorvendo o tráfego de ataques na borda da rede e reduzindo as interrupções. O balanceamento de carga distribui o tráfego entre vários servidores para evitar que um único servidor fique sobrecarregado, enquanto a escala automática aloca recursos dinamicamente com base nas demandas de tráfego, garantindo capacidade adequada durante ataques.

Arquitetura de segurança adaptável

Os invasores não estão parados. Eles continuam a desenvolver novas técnicas e adotar novas ferramentas que os ajudam a escapar das defesas. As organizações precisam de uma arquitetura de segurança adaptável que consiga aprender com essas ameaças em evolução e, assim, prever e responder a ataques de forma autônoma.

A inteligência contra ameaças é fundamental para a resiliência a ataques de DDoS, pois pode transformar a defesa de reativa em preditiva. Ao processar dados sobre padrões globais de ataques, os serviços de inteligência contra ameaças permitem que as organizações antecipem vetores emergentes (como novas técnicas de amplificação ou campanhas hacktivistas) e reforcem proativamente suas defesas. Essa inteligência fornece listas em tempo real de IPs maliciosos para bloqueio imediato, informa políticas precisas de limitação de taxa e garante que as equipes de segurança consigam distinguir rapidamente o ruído disruptivo de DDoS do roubo de dados direcionado, permitindo uma resposta focada e eficaz que protege tanto a disponibilidade do serviço quanto a integridade dos dados.

A IA e o aprendizado de máquina (ML) serão um componente essencial dessa arquitetura adaptativa. Ferramentas baseadas em IA e ML analisam grandes volumes de dados de rede para identificar padrões de ataques sutis e anomalias que sistemas tradicionais podem não detectar. Elas também aprendem com cada novo ataque, aplicando novas políticas ou regras para mitigar ameaças em segundos.

As equipes de segurança também devem implementar processos ágeis. Estabelecer um plano de resposta a incidentes e realizar simulações realistas de ataques de DDoS é crucial para identificar vulnerabilidades e validar os procedimentos de mitigação. Esses planos e simulações devem evoluir à medida que os invasores mudam suas técnicas e as organizações identificam vulnerabilidades nos aplicativos.

Impedir ataques de DDoS na camada de aplicação

A nuvem de conectividade da Cloudflare oferece uma gama completa de serviços nativos de nuvem para defesa contra ataques de DDoS, incluindo aqueles que visam a camada de aplicação. Por exemplo, a proteção contra DDoS aproveita os 449 Tbps Tbps de capacidade de rede da Cloudflare para mitigar até mesmo os maiores ataques de DDoS sem diminuir o desempenho dos aplicativos. Os recursos de UEBA baseados em ML permitem que você detecte comportamentos incomuns que sinalizam uma ameaça, enquanto o serviço WAF interrompe ataques em tempo real. Como esses e outros recursos estão totalmente integrados em uma única plataforma, sua equipe pode interromper ataques na camada de aplicação e aumentar a resiliência sem adicionar complexidade.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.


Saiba mais sobre esse assunto

Saiba mais sobre como proteger sua organização contra ataques de DDoS direcionados à camada de aplicação e à rede no e-book Cinco fatores críticos para mitigar ataques de DDoS.

Autoria

Gregory Van den Top – @gregoryvdtop
Field CSO, Cloudflare

Principais conclusões

Após ler este artigo, você entenderá:

  • Os vetores e técnicas de DDoS na camada de aplicação mais recentes

  • Por que os ataques na camada de aplicação são difíceis de detectar

  • Como construir uma estratégia de três pilares para se defender contra ataques de DDoS

Recursos relacionados

Receba um resumo mensal das informações mais populares da internet.

Assine o theNET

COMECE A USAR

SOLUÇÕES

SUPORTE

CONFORMIDADE

INTERESSE PÚBLICO

EMPRESA

© 2025 Cloudflare, Inc.Política de privacidadeTermos de UsoDenuncie problemas de segurançaConfiança e segurançaMarca registradaImpressum