Ataques DDoS (Distributed Denial of Service) são a principal ameaça à disponibilidade de links dedicados corporativos. Em 2024, o Brasil foi o 3º país mais atacado do mundo em volume de ataques DDoS. Empresas que não têm proteção contratual ficam vulneráveis a interrupções que podem durar horas ou dias. Este guia explica o que exigir em contrato.
Como Funciona um Ataque DDoS em Link Dedicado
Um ataque DDoS satura o link com tráfego falso, tornando-o inacessível para tráfego legítimo. Existem três tipos principais:
| Tipo | Alvo | Volume típico | Duração |
|---|---|---|---|
| Volumétrico | Saturar o link | 1–100 Gbps | Minutos–horas |
| Protocolo | Esgotar tabelas de estado | 100 Mpps | Horas |
| Aplicação (L7) | Derrubar serviços web | 50–500 Kpps | Dias |
O Que É Scrubbing Center e Por Que É Essencial
O scrubbing center é uma infraestrutura da operadora que filtra o tráfego malicioso antes de ele chegar ao seu link. Quando um ataque é detectado, o tráfego é redirecionado para o scrubbing center via BGP, o tráfego limpo é entregue ao cliente e o tráfego malicioso é descartado. Sem scrubbing center, a única defesa é o null-routing — que descarta todo o tráfego, incluindo o legítimo.
Cláusulas Obrigatórias em Contrato de Proteção DDoS
1. Capacidade de Mitigação
Exija que o contrato especifique a capacidade máxima de mitigação em Gbps. O mínimo aceitável para empresas de médio porte é 100 Gbps de capacidade de scrubbing. Operadoras que não especificam a capacidade geralmente não têm infraestrutura adequada.
2. SLA de Ativação da Mitigação
O tempo entre a detecção do ataque e a ativação do scrubbing deve estar em contrato. O padrão do mercado é 5–15 minutos para ativação automática. Exija penalidade se o SLA não for cumprido.
3. Tipos de Ataques Cobertos
Verifique se o contrato cobre os três tipos de DDoS (volumétrico, protocolo e aplicação L7). Muitos contratos cobrem apenas ataques volumétricos — os mais fáceis de mitigar — e excluem ataques de aplicação, que são os mais sofisticados.
4. Null-Routing como Último Recurso
O contrato deve especificar que o null-routing (blackhole) só será ativado se o scrubbing center estiver saturado, e que o cliente será notificado antes. Null-routing sem aviso é inaceitável.
5. Relatório Pós-Ataque
Exija relatório técnico em até 24 horas após cada ataque, com: volume do ataque, tipo, origem (ASN), duração, tempo de ativação da mitigação e efetividade.
Proteção DDoS vs Firewall: Diferenças Críticas
| Característica | Firewall | Scrubbing Center |
|---|---|---|
| Localização | Na borda do cliente | Na rede da operadora |
| Capacidade de absorção | Limitada pelo link | 100+ Gbps |
| Proteção volumétrica | ❌ Não | ✅ Sim |
| Proteção L7 | ✅ Sim (UTM) | ✅ Sim (avançado) |
| Custo | Hardware + licença | Incluso no link |
Checklist de Validação do Contrato DDoS
- ☐ Capacidade de scrubbing especificada em Gbps
- ☐ SLA de ativação ≤ 15 minutos documentado
- ☐ Cobertura de ataques volumétricos, protocolo e L7
- ☐ Null-routing apenas como último recurso, com notificação prévia
- ☐ Relatório pós-ataque em até 24 horas
- ☐ Penalidade contratual por descumprimento do SLA de mitigação
A JCM Telecom inclui proteção anti-DDoS com scrubbing center em todos os contratos de link dedicado, sem custo adicional. Solicite uma análise do seu contrato atual.
DDoS em Ambientes Específicos: Hospitais, Financeiro e Varejo
Hospitais são alvos crescentes de ataques DDoS e ransomware — o objetivo é forçar o pagamento de resgate para restaurar sistemas críticos como PEP e PACS. Um ataque DDoS que derruba o link do hospital impede acesso a prontuários e pode colocar vidas em risco. Para hospitais, o SLA de ativação da mitigação deve ser de no máximo 5 minutos.
No setor financeiro, ataques DDoS são frequentemente usados como distração enquanto um ataque mais sofisticado ocorre em paralelo. A proteção DDoS deve ser combinada com monitoramento de anomalias de tráfego e alertas em tempo real para o time de segurança.
No varejo, ataques DDoS em datas comemorativas (Black Friday, Natal) são comuns — o objetivo é derrubar o e-commerce no momento de maior receita. Exija que o contrato inclua proteção reforçada em períodos de alto tráfego.
Como Testar a Proteção DDoS do Seu Contrato
Antes de assinar um contrato de link dedicado com proteção DDoS, exija um teste de penetração controlado (pen test) para validar a efetividade do scrubbing center. O teste deve simular um ataque volumétrico de pelo menos 10 Gbps e medir: tempo de detecção, tempo de ativação da mitigação, percentual de tráfego legítimo preservado e impacto na latência durante a mitigação.
Operadoras que se recusam a realizar testes de DDoS controlados geralmente não têm infraestrutura de scrubbing adequada. Isso é um sinal de alerta importante na avaliação de fornecedores.
Proteção DDoS e LGPD: Responsabilidade Contratual
Com a LGPD (Lei Geral de Proteção de Dados), uma violação de dados causada por um ataque DDoS que derrubou os controles de segurança pode gerar multas de até 2% do faturamento anual. O contrato de link dedicado deve especificar claramente a responsabilidade da operadora em caso de ataque bem-sucedido e o processo de notificação ao cliente.
Precisa de Link Dedicado para o Seu Ambiente?
Nossa equipe técnica analisa seu ambiente e entrega uma proposta personalizada em até 2 horas úteis.
💬 WhatsApp 📞 (11) 97621-9889