Comece grátis|Fale com vendas|

Blog da Cloudflare

Assine para receber notificações de novos posts:

Defender a internet: como a Cloudflare bloqueou um monumental ataque de DDoS de 7,3 Tbps

2025-06-19

9 min. de leitura
Este post também está disponível em English, Deutsch, 日本語, 한국어, Español, Indonesia, Nederlands, ไทย e Français.

Em meados de maio de 2025, a Cloudflare bloqueou o maior ataque de DDoS já registrado: impressionantes 7,3 terabits por segundo (Tbps). Isso ocorre logo após a publicação do nosso relatório de ameaças de DDoS para o primeiro trimestre de 2025 em 27 de abril de 2025, onde destacamos ataques que atingiram 6,5 Tbps e 4,8 bilhões de pacotes por segundo (pps). O ataque de 7,3 Tbps é 12% maior que o nosso recorde anterior e 1 Tbps maior que um ataque recente relatado pelo jornalista de segurança cibernética Brian Krebs no KrebsOnSecurity.

Novo recorde mundial: ataque de DDoS de 7,3 Tbps bloqueado autonomamente pela Cloudflare

O ataque teve como alvo um cliente da Cloudflare, um provedor de hospedagem, que usa o Magic Transit para defender sua rede IP. Os provedores de hospedagem e a infraestrutura crítica da internet têm se tornado cada vez mais alvos de ataques de DDoS, conforme relatamos em nosso último relatório sobre ameaças de DDoS. A imagem abaixo mostra uma campanha de ataques de janeiro e fevereiro de 2025 que realizou mais de 13,5 milhões de ataques de DDoS contra a infraestrutura e os provedores de hospedagem da Cloudflare protegidos pela Cloudflare.

Campanha de ataques de DDoS visa a infraestrutura da Cloudflare e os provedores de hospedagem protegidos pela Cloudflare

Vamos começar com algumas estatísticas e, em seguida, vamos nos aprofundar em como nossos sistemas detectaram e mitigaram esse ataque.

O ataque de 7,3 Tbps entregou 37,4 terabytes em 45 segundos

37,4 terabytes não é um número impressionante nas escalas atuais, mas atingir 37,4 terabytes em apenas 45 segundos é. É o equivalente a inundar sua rede com mais de 9.350 filmes completos em HD ou transmitir 7.480 horas de vídeo em alta definição sem parar (o que equivale a quase um ano de maratona ininterrupta) em apenas 45 segundos. Se fosse música, você estaria baixando cerca de 9,35 milhões de músicas em menos de um minuto, o suficiente para manter um ouvinte ocupado por 57 anos seguidos. Imagine tirar 12,5 milhões de fotos de alta resolução no seu smartphone e nunca ficar sem espaço de armazenamento, mesmo se você tirasse uma foto por dia, estaria tirando fotos por 4.000 anos, mas em 45 segundos. 

O ataque de DDoS recorde de 7,3 Tbps gerou 37,4 TB em 45 segundos

Os detalhes do ataque

O ataque bombardeou uma média de 21.925 portas de destino de um único endereço de IP de propriedade e usado por nosso cliente, com um pico de 34.517 portas de destino por segundo. O ataque também se originou de uma distribuição semelhante de portas de origem. 

Distribuição das portas de destino

Vetores de ataque

O ataque de 7,3 Tbps foi um ataques de DDoS multivetorial. Cerca de 99,996% do tráfego de ataque foi categorizado como ataques de inundação UDP. No entanto, os 0,004% restantes, que representaram 1,3 GB do tráfego de ataque, foram identificados como ataques de reflexão QOTD, ataques de reflexão Echo, ataques de reflexão NTP, ataques de inundação Mirai UDP, inundações Portmap e ataques de amplificação RIPv1.

Os vetores de ataque além das inundações UDP

Análise dos vetores de ataque

Abaixo estão os detalhes sobre os vários vetores de ataque observados neste ataque, como as organizações podem evitar se tornar participantes de reflexão e amplificação, e recomendações sobre como se defender contra esses ataques e evitar o impacto no tráfego legítimo. Os clientes da Cloudflare estão protegidos contra esses ataques.

Ataque de DDoS UDP

  • Tipo: inundação

  • Como funciona: um grande volume de pacotes UDP é enviado para portas aleatórias ou específicas no(s) endereço(s) de IP de destino. Isso pode tentar saturar a conexão com a internet ou sobrecarregar seus dispositivos em linha com mais pacotes do que eles podem suportar.

  • Como se defender contra o ataque: implante proteção contra DDoS baseada em nuvem, aplique limitação de taxa inteligente no tráfego UDP e elimine completamente o tráfego UDP indesejado.

  • Como evitar impactos não intencionais: a filtragem agressiva pode interromper serviços legítimos de UDP, como VoIP, videoconferência ou jogos on-line. Aplique os limiares com cuidado.

Ataque de DDoS QOTD

  • Tipo: reflexão + amplificação

  • Como funciona: abusa do protocolo Quote of the Day (QOTD), que escuta na porta UDP 17 e responde com uma citação ou mensagem curta. Os atacantes enviam solicitações QOTD para servidores expostos a partir de um endereço de IP falsificado, causando respostas amplificadas que inundam a vítima.

  • Como evitar se tornar um elemento de reflexão/amplificação: desative o serviço QOTD e bloqueie UDP/17 em todos os servidores e firewalls.

  • Como se defender contra o ataque: bloqueie a entrada de UDP/17. Descarte picos anormais de solicitações UDP de pacotes pequenos.

  • Como evitar impacto não intencional: o QOTD é um protocolo obsoleto de diagnóstico/depuração e não é utilizado por aplicativos modernos. Desativá-lo não deve ter nenhum efeito negativo nos serviços legítimos.

Ataque de DDoS Echo

  • Tipo: reflexão + amplificação

  • Como funciona: explora o protocolo Echo (porta UDP/TCP 7), que responde com os mesmos dados que recebe. Os atacantes falsificam o endereço de IP da vítima, fazendo com que os dispositivos reflitam os dados de volta, amplificando o ataque.

  • Como evitar se tornar um elemento de reflexão/amplificação: desative o serviço Echo em todos os dispositivos. Bloqueie a porta UDP/TCP 7 na borda.

  • Como se defender do ataque: desative o serviço Echo e bloqueie a porta TCP/UDP 7 no perímetro de rede.

  • Como evitar impactos não intencionais: o Echo é uma ferramenta de diagnóstico obsoleta; desativá-lo ou bloqueá-lo não tem efeito negativo sobre os sistemas modernos.

Ataque de DDoS NTP

  • Tipo: reflexão + amplificação

  • Como funciona: viola o Network Time Protocol (NTP), usado para sincronizar relógios na internet. Os atacantes exploram o comando monlist em servidores NTP antigos (UDP/123), que retorna uma lista extensa de conexões recentes. Solicitações falsificadas causam reflexões amplificadas.

  • Como evitar se tornar um elemento de reflexão/amplificação: atualize ou configure os servidores NTP para desabilitar o monlist. Restrinja consultas NTP apenas a endereços de IP confiáveis.

  • Como se defender contra o ataque: desabilite o comando monlist, atualize o software NTP e filtre ou limite a taxa de tráfego UDP/123.

  • Como evitar impactos não intencionais: a desativação do monlist não afeta a sincronização de horário. No entanto, filtrar ou bloquear o UDP/123 pode afetar a sincronização de tempo se for feito de maneira muito ampla. Certifique-se de que apenas fontes não confiáveis ou externas sejam bloqueadas.

Ataque Mirai UDP

  • Tipo: inundação

  • Como funciona: a botnet Mirai, composta por dispositivos de IoT comprometidos, inunda as vítimas usando pacotes UDP aleatórios ou específicos de serviço (por exemplo, DNS, serviços de jogos).

  • Como evitar se tornar parte da botnet: proteja seus dispositivos de IoT, altere as senhas padrão, atualize para as versões de firmware mais recentes e siga as práticas recomendadas de segurança de IoT para evitar se tornar parte da botnet. Quando possível, monitore o tráfego de saída para detectar irregularidades.

  • Como se defender do ataque: implante proteção contra DDoS volumétrico baseada em nuvem e limitação de taxa para tráfego de UDP.

  • Como evitar impactos não intencionais: primeiro, entenda sua rede e o tipo de tráfego que você recebe, especificamente os protocolos, suas origens e seus destinos. Identifique os serviços que são executados sobre UDP que você deseja evitar impactar. Depois de identificá-los, você pode aplicar a limitação de taxa de forma a excluir esses pontos de extremidade ou considerar seus níveis de tráfego regulares. Caso contrário, a limitação de taxa agressiva do tráfego UDP pode impactar seu tráfego legítimo e os serviços que operam sobre UDP, como chamadas VoIP e tráfego de VPN.

Ataque de DDoS Portmap

  • Tipo: reflexão + amplificação

  • Como funciona: visa o serviço Portmapper (UDP/111) usado por aplicativos baseados em Chamada de Procedimento Remoto (RPC) para identificar serviços disponíveis. Solicitações falsificadas resultam em respostas refletidas.

  • Como evitar se tornar um elemento de reflexão/amplificação: desative o serviço Portmapper se não for necessário. Se necessário internamente, restrinja apenas a endereços de IP confiáveis.

  • Como se defender contra o ataque: desative o serviço Portmapper se não for necessário, bloqueie o tráfego de entrada de UDP/111. Use listas de controle de acesso (ACLs) ou firewalls para restringir o acesso a serviços de RPC conhecidos.

  • Como evitar impactos não intencionais: desabilitar o Portmapper pode interromper aplicativos que dependem de RPC (por exemplo, o protocolo Network File System). Valide as dependências de serviços antes da remoção.

Ataque de DDoS RIPv1

  • Tipo: reflexão + amplificação (baixa)

  • Como funciona: explora o protocolo de informações de roteamento versão 1 (RIPv1), um protocolo de roteamento de vetor de distância antigo e não autenticado que utiliza UDP/520. Os atacantes enviam atualizações de roteamento falsificadas para inundar ou confundir redes.

  • Como evitar se tornar um elemento de reflexão/amplificação: desabilite o RIPv1 nos roteadores. Utilize RIPv2 com autenticação onde o roteamento for necessário.

  • Como se defender do ataque: bloqueie a entrada de redes UDP/520 de redes não confiáveis. Monitore atualizações inesperadas de roteamento.

  • Como evitar impactos não intencionais: o RIPv1 está quase obsoleto, desativa-lo é geralmente seguro. Se os sistemas legados dependerem dele, valide o comportamento do roteamento antes de fazer alterações.

Todas as recomendações aqui devem ser consideradas no contexto e comportamento de cada rede ou aplicativo único para evitar qualquer impacto não intencional no tráfego legítimo.

Origens do ataque

O ataque se originou de mais de 122.145 endereços IP de origem, abrangendo 5.433 sistemas autônomos (AS) em 161 países. 

Quase metade do tráfego de ataques teve origem no Brasil e no Vietnã, com aproximadamente um quarto em cada. Outro terço, no total, originou-se de Taiwan, China, Indonésia, Ucrânia, Equador, Tailândia, Estados Unidos e Arábia Saudita.

Os dez principais países de origem do tráfego de ataque

O número médio de endereços de IP de origem únicos por segundo foi de 26.855, com um pico de 45.097.  

Distribuição de endereços de IP de origem únicos

O ataque foi originado de 5.433 redes (ASes) diferentes. A Telefônica Brasil (AS27699) foi responsável pela maior parte do tráfego de ataques de DDoS, representando 10,5% do total. O Viettel Group (AS7552) segue de perto com 9,8%, enquanto a China Unicom (AS4837) e a Chunghwa Telecom (AS3462) contribuíram com 3,9% e 2,9%, respectivamente. A China Telecom (AS4134) representou 2,8% do tráfego. Os ASNs restantes entre os dez primeiros, incluindo Claro NXT (AS28573), VNPT Corp (AS45899), UFINET Panamá (AS52468), STC (AS25019) e FPT Telecom Company (AS18403), cada um contribuiu com entre 1,3% e 1,8% do no tráfego total de ataques de DDoS.

Dez principais sistemas autônomos de origem

Feed gratuito de ameaças de botnets

Para ajudar provedores de hospedagem, provedores de computação em nuvem e quaisquer provedores de internet a identificar e remover as contas abusivas que lançam esses ataques, aproveitamos o ponto de vista exclusivo da Cloudflare para fornecer um feed gratuito de ameaças de botnets de DDoS para provedores de serviços. Mais de 600 organizações em todo o mundo já se inscreveram para este feed. Ele fornece aos provedores de serviços uma lista de endereços de IP ofensivos de dentro de seu número de sistema autônomo que vemos lançando ataques de DDoS por HTTP. É totalmente gratuito e tudo o que é necessário é abrir uma conta gratuita na Cloudflare, autenticar o número de sistema autônomo via PeeringDB e, em seguida, buscar o feed via API.

Como o ataque foi detectado e mitigado

Usando a natureza distribuída dos ataques de DDoS contra ele

O endereço de IP atacado foi anunciado na rede da Cloudflare usando Anycast global. Isso significa que os pacotes de ataque direcionados ao IP foram roteados para o data center da Cloudflare mais próximo. Usando anycast global, podemos distribuir o tráfego do ataque e usar sua natureza distribuída contra ele, permitindo-nos mitigar próximo aos nós de botnet e continuar atendendo os usuários a partir dos data centers mais próximos. No caso deste ataque, ele foi detectado e mitigado em 477 data centers em 293 locais ao redor do mundo. Em locais de tráfego intenso, temos presença em vários data centers. 

Detecção e mitigação autônoma de DDoS

A rede global da Cloudflare executa todos os serviços em todos os data centers. Isso inclui nossos sistemas de detecção e mitigação de DDoS. Isso significa que os ataques podem ser detectados e mitigados de forma totalmente autônoma, independentemente de onde se originem. 

Impressão digital em tempo real

Quando um pacote entra em nosso data center, é feito o balanceamento de carga de forma inteligente para um servidor disponível. Em seguida, coletamos amostras de pacotes diretamente das profundezas do kernel do Linux, do eXpress Data Path (XDP) usando um programa Extended Berkley Packer Filter (eBPF) para rotear amostras de pacotes para o espaço do usuário onde executamos a análise.

Nosso sistema analisa as amostras de pacotes para identificar padrões suspeitos com base em nosso mecanismo heurístico exclusivo chamado dosd (daemon de negação de serviço). O dosd busca padrões nas amostras de pacotes, como encontrar semelhanças nos campos dos cabeçalhos de pacotes e identificar anomalias de pacotes, além de aplicar outras técnicas proprietárias.

 Diagrama de fluxo da geração de impressão digital em tempo real

Para nossos clientes, esse complexo sistema de impressões digitais é englobado por um grupo de regras gerenciadas de fácil utilização, os conjuntos de regras gerenciadas de proteção contra DDoS

Quando os padrões são detectados pelo dosd, ele gera múltiplas permutações dessas impressões digitais para encontrar a impressão digital mais precisa, que terá a maior eficácia e precisão de mitigação, ou seja, para tentar combinar cirurgicamente com o tráfego de ataque sem impactar o tráfego legítimo. 

Diagrama dos sistemas de proteção contra DDoS da Cloudflare 

Mitigação

Contamos as várias amostras de pacotes que correspondem a cada permutação de impressão digital e, usando um algoritmo de streaming de dados, exibimos a impressão digital com mais ocorrências. Quando os limiares de ativação são ultrapassados, para evitar falsos positivos, uma regra de mitigação usando a sintaxe de impressão digital é compilada como um programa eBPF para descartar pacotes que correspondam ao padrão de ataque. Assim que o ataque termina, a regra expira e é removida automaticamente.

Especulações sobre ataques

Como mencionamos, cada servidor detecta e mitiga ataques de forma totalmente autônoma, tornando nossa rede altamente eficiente, resiliente e rápida no bloqueio de ataques. Além disso, cada servidor comunica (faz multicast) as principais permutações de impressões digitais em um data center e globalmente. Esse compartilhamento de inteligência contra ameaças em tempo real ajuda a melhorar a eficácia da mitigação dentro de um data center e globalmente. 

Proteger a internet

Nossos sistemas bloquearam com sucesso este ataque de DDoS recorde de 7,3 Tbps de forma totalmente autônoma, sem exigir qualquer intervenção humana, sem acionar alertas e sem causar incidentes. Isso demonstra a eficácia dos nossos sistemas de proteção contra DDoS líderes mundiais. Criamos este sistema como parte de nossa missão de ajudar a construir uma internet melhor, comprometidos em fornecer proteção contra DDoS gratuita e ilimitada.

Protegemos redes corporativas inteiras, ajudamos os clientes a criarem aplicativos em escala de internet com eficiência, aceleramos qualquer site ou aplicativo de internet, evitamos os ataques de DDoS, mantemos os invasores afastados e podemos ajudar você em sua jornada rumo ao Zero Trust.

Acesse 1.1.1.1 a partir de qualquer dispositivo para começar a usar nosso aplicativo gratuito que torna sua internet mais rápida e mais segura.

Para saber mais sobre nossa missão de construir uma internet melhor, comece aqui. Se estiver procurando uma nova carreira para trilhar, confira nossas vagas disponíveis.
DDoSRelatórios de DDoS

Seguir no X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Posts relacionados