Um dos casos mais marcantes que vivemos na Sage Networks foi o de um provedor do interior, com aproximadamente 2 mil assinantes, que nos procurou quando a operação já estava seriamente comprometida. A empresa trabalhava com dois links de trânsito IP e, teoricamente, ambos contavam com mitigação de DDoS oferecida pelos fornecedores. No papel, a rede estava protegida. Na prática, os ataques continuavam derrubando a operação.
O relato foi objetivo: durante os incidentes, um dos links saturava completamente, enquanto o outro simplesmente caía. Não era uma degradação leve de desempenho, mas indisponibilidade real para os clientes. O time técnico já havia acionado os fornecedores diversas vezes, solicitado análises e aberto chamados de alto nível. As respostas, porém, giravam em torno de limitações operacionais, justificativas técnicas genéricas ou da própria magnitude dos ataques. O provedor tinha mitigação contratada, mas não tinha controle sobre como e quando ela seria efetivamente aplicada.
Quando o problema deixa de ser técnico e vira operacional
A situação evoluiu para um ponto crítico. Cada novo ataque gerava um efeito cascata: link saturado, clientes sem conexão, suporte sobrecarregado e equipe técnica trabalhando sob pressão constante. A operação passou a funcionar em modo reativo, apenas tentando restabelecer o serviço após cada incidente, sem conseguir implementar mudanças estruturais.
Foi nesse contexto que um dos próprios fornecedores foi direto: os ataques que o provedor vinha sofrendo ultrapassavam o que eles conseguiam tratar naquele modelo de mitigação. A recomendação foi buscar um especialista externo. A partir daí, iniciamos as conversas já em cenário emergencial.
Começamos a orientar ajustes e solicitar informações técnicas ainda na mesma noite, mas rapidamente ficou evidente que o desgaste operacional era tão grande que a equipe já não conseguia executar tudo o que era necessário.
Equipamentos operando no limite, ausência de visibilidade detalhada do tráfego e pressão constante dos clientes criavam um ambiente onde qualquer ação exigia esforço desproporcional. Diante desse cenário, nosso CEO, Daniel Damito, decidiu atuar presencialmente para acelerar o diagnóstico, alinhar decisões técnicas e reorganizar a estratégia de defesa.
O diagnóstico: dependência excessiva e falta de arquitetura própria
Ao analisar o ambiente, identificamos que o problema não era simplesmente “falta de mitigação”, mas uma arquitetura excessivamente dependente do upstream. O provedor não tinha domínio sobre critérios de acionamento, políticas específicas de filtragem ou integração entre roteamento e estratégia de contenção. A defesa estava fora do seu controle direto.
Além disso, não havia uma camada estruturada de mitigação sob gestão própria, o que tornava a operação vulnerável a ataques recorrentes ou híbridos. Em cenários onde o tráfego malicioso cresce rapidamente ou explora vetores específicos, depender exclusivamente da proteção do fornecedor de trânsito significa aceitar as limitações técnicas e comerciais desse modelo. O risco operacional deixa de ser gerenciado internamente e passa a ser condicionado às decisões de terceiros.
A reestruturação: controle, critérios e previsibilidade
A solução envolveu mais do que aumentar capacidade ou solicitar reforço de mitigação externa. Foi necessário reorganizar a arquitetura de defesa, definir políticas técnicas compatíveis com o porte da operação e estruturar uma camada efetiva de proteção que devolvesse controle ao provedor. Revisamos políticas de roteamento, ajustamos configurações de borda, estabelecemos critérios claros de resposta a incidentes e implementamos uma estratégia coerente entre detecção e mitigação.
O foco não era apenas bloquear o ataque atual, mas criar previsibilidade para os próximos. Quando a defesa passa a operar com critérios técnicos bem definidos, a rede deixa de reagir de forma improvisada e começa a responder de maneira estruturada. Esse movimento reduziu drasticamente o impacto dos ataques subsequentes, estabilizou os links e devolveu confiança à equipe técnica.
O aprendizado: mitigação não é promessa, é capacidade operacional
Esse caso evidencia uma dor recorrente no mercado de ISPs: acreditar que estar protegido no contrato equivale a estar protegido na prática. Mitigação upstream pode ter limitações de volume, tempo, protocolo ou prioridade de atendimento. Quando não existe arquitetura própria de defesa, qualquer ataque mais agressivo se transforma em crise operacional.
A diferença entre cair e continuar operando não está necessariamente no tamanho do provedor, mas no nível de maturidade da sua estratégia Anti-DDoS. Ter dois links é importante; ter controle sobre como sua rede reage sob ataque é fundamental. Esse provedor não precisava apenas de mais banda, precisava de governança técnica sobre a própria proteção.
Se a sua operação depende exclusivamente da mitigação oferecida pelo fornecedor de trânsito, talvez seja o momento de avaliar o nível real de maturidade da sua arquitetura. Em um cenário onde ataques são recorrentes e cada vez mais sofisticados, não se trata de saber se eles vão acontecer novamente, mas se sua rede está preparada para continuar operando quando acontecerem.
Confira o relato completo do nosso CEO sobre esse case em: https://www.instagram.com/p/DU9IAGLAMnf/?igsh=MTZubHpoZndpc20xag==
