DDOS

``

Concepto y objetivos

• Ataque de Denegación de Servicio Distribuida (DDoS) cuyo objetivo es interrumpir la disponibilidad de servicios, aplicaciones o infraestructuras mediante la saturación de recursos.
• Impacta en:
  • Disponibilidad (principal objetivo)
  • Rendimiento
  • Reputación
  • Costes operativos y legales
• Relación directa con:
  • monitoreo
  • hardening
  • Pentesting
  • OWASP

Tipos de ataques DDoS

• Volumétricos
  • Saturan el ancho de banda
  • Ejemplos: UDP Flood, ICMP Flood
• De protocolo
  • Explotan debilidades en capas 3 y 4
  • Ejemplos: SYN Flood, Ping of Death
• De capa de aplicación (Layer 7)
  • Simulan tráfico legítimo
  • Ejemplos: HTTP Flood, Slowloris
• Ataques multi-vector
  • Combinan varios tipos para evadir defensas

Botnet y origen del ataque

• Uso de botnet compuestas por:
  • Dispositivos IoT comprometidos
  • Servidores vulnerables
  • Equipos personales infectados
• Técnicas comunes:
  • Command & Control (C2)
  • Amplificación y reflexión (DNS, NTP, Memcached)

AntiDDoS y mitigación

• Enfoque defensivo basado en:
  • Prevención
  • Detección temprana
  • Mitigación automática
  • Respuesta escalada
• Componentes clave:
  • Deep Packet Inspection and Accurate Network Traffic Analysis
  • Análisis de comportamiento
  • Rate limiting
  • Blackholing controlado
  • Scrubbing centers

Soluciones y referencias AntiDDoS

• [Anti-DDoS Protection (ADS)

  NSFOCUS](https://nsfocusglobal.com/products/anti-ddos-system-ads/)

• [¿Qué es un ataque DDoS? Significado, definición y tipos

  Fortinet](https://www.fortinet.com/lat/resources/cyberglossary/ddos-attack#:~:text=Significado%20de%20ataque%20DDoS,y%20sitios%20en%20l%C3%ADnea%20conectados.)

• [¿Qué es un ataque DDoS?

  Akamai](https://www.akamai.com/es/glossary/what-is-ddos)

• Mitigación de DDoS - Wikipedia

Herramientas open source AntiDDoS

• GitHub - anti-ddos/Anti-DDOS
  • Scripts defensivos
  • Bloqueo automático de IPs
  • Uso básico en entornos Linux

Patrones de arquitectura defensiva

• Patrones de diseño
• Uso de patrones para aislar recursos críticos
• Separación entre tráfico externo y backend

Patrón Gatekeeper

• GitHub - AltraMayor/gatekeeper
• Patrón Gatekeeper - Azure Architecture Center
• Beneficios:
  • Reducción de superficie de ataque
  • Control centralizado
  • Protección del core del sistema

Firewalls y control de tráfico

• firewalls
  • Filtrado por IP, puerto y protocolo
  • Stateful inspection
• WAF
  • Protección capa 7
  • Detección de HTTP Flood
  • Integración con reglas OWASP
• Routing
  • Anycast
  • Geo-blocking
  • Redirección a scrubbing centers

Proveedores de mitigación en la nube

• cloudflare
  • Protección DDoS global
  • Rate limiting
  • WAF integrado
• akamai
  • Red Anycast distribuida
  • Protección volumétrica y L7
  • Integración CDN + seguridad

OWASP y buenas prácticas

• OWASP
  • Enfoque en disponibilidad como pilar de seguridad
• Denial of Service - OWASP Cheat Sheet Series
• DoS documents - OWASP

Relación con seguridad ofensiva y defensiva

• Pentesting
  • Pruebas controladas de resistencia
  • Validación de rate limiting y WAF
• hardening
  • Reducción de vectores explotables
  • Configuración segura de red y servicios
• monitoreo
  • Detección de picos anómalos
  • Alertas en tiempo real
  • Integración con SIEM/XDR

    DDOS — Expansión Avanzada y Conceptos No Cubiertos

Modelos de detección avanzada

• Detección basada en anomalías
  • Comparación con líneas base históricas
  • Identificación de desviaciones estadísticas
• Detección basada en firmas
  • Patrones conocidos de floods y exploits
  • Limitada frente a ataques zero-day
• Machine Learning aplicado a DDoS
  • Clasificación de tráfico legítimo vs malicioso
  • Modelos supervisados y no supervisados
  • Reducción de falsos positivos en capa 7

DDoS en entornos cloud y distribuidos

• Desafíos específicos:
  • Elasticidad que oculta el ataque
  • Coste económico por autoescalado
  • Saturación de servicios gestionados
• Ataques dirigidos a:
  • Load Balancers
  • API Gateways
  • Servicios serverless
• Relación con cloudflare y akamai:
  • Protección perimetral
  • Mitigación antes de llegar al tenant

DDoS económico (EDoS)

• Ataques diseñados para:
  • Forzar autoescalado
  • Incrementar costes cloud
• Vectores comunes:
  • HTTP Flood persistente
  • Abuso de endpoints costosos
• Controles defensivos:
  • Presupuestos y alertas
  • Rate limiting adaptativo
  • Autenticación temprana

Ataques DDoS a APIs

• Objetivo:
  • Interrumpir servicios backend
  • Agotar recursos de bases de datos
• Técnicas:
  • Flood de requests válidas
  • Abuso de GraphQL
• Mitigación:
  • API Gateways
  • Throttling por token
  • Validación de payload

DDoS de baja tasa (Low & Slow)

• Características:
  • Difíciles de detectar
  • Consumen recursos lentamente
• Ejemplos:
  • Slowloris
  • Slow POST
• Contramedidas:
  • Timeouts agresivos
  • Limitación de conexiones concurrentes
  • Protección en WAF

Respuesta a incidentes DDoS

• Fases:
  • Identificación
  • Contención
  • Mitigación
  • Recuperación
  • Lecciones aprendidas
• Artefactos clave:
  • Playbooks
  • Runbooks
  • Procedimientos automatizados
• Integración con:
  • monitoreo
  • SIEM
  • SOAR

Inteligencia de amenazas aplicada a DDoS

• Uso de:
  • Feeds de IP maliciosas
  • Reputación ASN
  • Listas de botnets activas
• Relación con:
  • OWASP
  • Threat Intelligence Platforms
• Beneficio:
  • Bloqueo preventivo
  • Reducción del tiempo de mitigación

Simulación y pruebas de resiliencia

• Objetivo:
  • Validar defensas sin afectar producción
• Técnicas:
  • Chaos Engineering
  • Stress testing controlado
• Relación con Pentesting:
  • Evaluación de controles
  • Identificación de cuellos de botella

DDoS y cumplimiento normativo

• Impacto en:
  • SLA
  • Continuidad de negocio
• Marcos relacionados:
  • ISO 27001 (disponibilidad)
  • NIST CSF (Protect / Detect / Respond)
• Evidencias:
  • Logs
  • Métricas de disponibilidad
  • Informes post-incidente

Tendencias actuales en DDoS

• Uso de:
  • IoT masivo
  • Ataques hiper-cortos y muy intensos
  • Automatización ofensiva
• Evolución defensiva:
  • Mitigación basada en IA
  • Protección distribuida
  • Integración seguridad + red

Relación con arquitectura resiliente

• Principios:
  • Failover automático
  • Multi-región
  • Desacoplamiento de servicios
• Beneficios:
  • Reducción del impacto
  • Mayor tolerancia a fallos
• Complementa:
  • hardening
  • Patrones de diseño seguro

Recursos y Herramientas Anti-DDoS 2025

Plataformas comerciales de mitigación DDoS

• Cloudflare DDoS Protection
  • Defensa global contra ataques volumétricos y de aplicación.
  • Red Anycast masiva para absorción y mitigación automática.
• Radware DefensePro
  • Detección basada en IA y análisis de comportamiento.
  • Mitigación en tiempo real desde L3 hasta L7.
• Imperva DDoS Protection
  • Protección de red, aplicaciones y APIs.
  • SLA de mitigación rápida para ataques de gran volumen.
• AWS Shield
  • Protección nativa para infraestructuras en AWS.
  • Shield Advanced con equipo DRT especializado.
• Fastly DDoS Protection
  • Mitigación en el edge con baja latencia.
  • Optimizado para APIs y aplicaciones modernas.
• Gcore DDoS Protection
  • Protección multi-Tbps con detección automática de bots.
  • Cobertura completa L3–L7.
• Check Point Quantum DDoS Protector
  • Defensa inline en capas 3, 4, 6 y 7.
  • Integración con WAF y ecosistema Check Point.
• NETSCOUT Arbor Edge Defense
  • IA/ML para detección de ataques evasivos.
  • Inteligencia ATLAS basada en tráfico global.
• Neustar UltraDDoS Protect
  • Red global de scrubbing centers.
  • Soporte 24/7 para entornos enterprise.

Servicios gratuitos o especializados

• Project Shield (Google / Jigsaw)
  • Servicio gratuito para medios, derechos humanos y procesos electorales.
  • Reverse proxy con filtrado de tráfico malicioso.

Herramientas open source y software

• FastNetMon
  • Detección de DDoS mediante NetFlow, sFlow e IPFIX.
  • Mitigación con BGP blackholing o FlowSpec.
• BGP FlowSpec
  • Filtrado dinámico de tráfico a nivel de routing.
  • Uso habitual por ISPs y grandes redes.

Detección y observabilidad de red

• Kentik Protect
  • Telemetría unificada (flow, BGP, SNMP).
  • Detección automática y reducción de MTTR.
  • Integración con mitigadores y scrubbing centers.

Integración con WAF y seguridad perimetral

• Web Application Firewalls (WAF)
  • Filtrado inteligente de HTTP/S.
  • Geo-blocking, rate limiting y reputación de IPs.
  • Defensa clave frente a ataques DDoS de capa 7.
• WAFs cloud recomendados en 2025:
  • Cloudflare WAF
  • Imperva WAF
  • AWS WAF
  • Akamai App & API Protector

Repositorios y herramientas comunitarias

• Nmap
  • Descubrimiento de servicios expuestos y superficie de ataque.
• Shodan
  • Identificación de servicios expuestos a Internet.
• OWASP Amass
  • Mapeo de infraestructura y activos externos.
• Uso defensivo:
  • Inventariado
  • Reducción de exposición
  • Preparación ante DDoS dirigidos

Investigación y tendencias tecnológicas

• P4-SDN y Machine Learning
  • Planos de datos programables para mitigación en tiempo real.
  • Uso en entornos ISP y backbone.
• eBPF / XDP
  • Bloqueo de tráfico DDoS a nivel de kernel.
  • Alta eficiencia en entornos Linux e IoT.
  • Integración con firewalls modernos.

Recursos institucionales y recomendaciones operativas

• Mando Conjunto del Ciberespacio (España)
  • Recomendaciones de mitigación DDoS.
  • Uso de IDS/IPS, firewalls avanzados y servicios de scrubbing.
  • Concienciación sobre dispositivos comprometidos.

Noticias relevantes 2025

• Aumento global de ataques DDoS
  • Incrementos superiores al 150% interanual.
  • Predominio de ataques cortos, intensos y multi-vector.
• Ataques récord
  • Azure mitigó ataques superiores a 15 Tbps.
  • Cloudflare bloqueó ataques de más de 22 Tbps.
• Tendencias:
  • Uso masivo de botnets IoT
  • Ataques DDoS como servicio (DDoSaaS)

Guías y lecturas recomendadas

• OWASP Denial of Service Cheat Sheet
• Cloudflare Learning Center – DDoS
• Akamai Security Research
• Comparativas 2025:
  • Selección de soluciones según tamaño, sector y criticidad

Guía de Aplicación AntiDDoS

Objetivo de la guía

• Proteger la disponibilidad de servicios frente a ataques DDoS.
• Reducir impacto operativo, económico y reputacional.
• Integrar controles técnicos, operativos y organizativos.
• Complementar:
  • hardening
  • monitoreo
  • firewalls
  • WAF
  • cloudflare
  • akamai

Fase 1 — Preparación y diseño

• Identificación de activos críticos:
  • Aplicaciones públicas
  • APIs
  • DNS
  • Load balancers
• Clasificación por impacto:
  • Alta disponibilidad requerida
  • Servicios degradables
• Definición de umbrales:
  • Tráfico normal
  • Tráfico pico legítimo
  • Tráfico anómalo

Fase 2 — Arquitectura AntiDDoS

• Principios clave:
  • Defensa en capas
  • Mitigación lo más cerca posible del origen
  • Escalabilidad controlada
• Componentes recomendados:
  • CDN con protección DDoS
  • Scrubbing centers
  • Firewalls perimetrales
  • WAF para capa 7
  • Routing Anycast

Fase 3 — Controles de red (L3 / L4)

• Configuración de firewalls:
  • Rate limiting por IP / ASN
  • Bloqueo de protocolos innecesarios
  • Stateful inspection
• Routing defensivo:
  • Blackholing controlado
  • BGP FlowSpec
  • Geo-blocking selectivo
• Protección volumétrica:
  • Proveedores AntiDDoS upstream
  • Integración con ISPs

Fase 4 — Controles de aplicación (L7)

• Uso de WAF:
  • Protección frente a HTTP Flood
  • Detección de bots
  • Reglas OWASP adaptadas
• Medidas adicionales:
  • CAPTCHA adaptativo
  • Desafíos JavaScript
  • Autenticación temprana
  • Cache agresiva en endpoints públicos

Fase 5 — Protección de APIs

• Medidas específicas:
  • API Gateway
  • Throttling por token
  • Rate limiting por consumidor
• Validación estricta:
  • Tamaño de payload
  • Complejidad de consultas (GraphQL)
• Aislamiento:
  • Separación frontend / backend
  • Circuit breakers

Fase 6 — Detección y monitoreo

• Integración con monitoreo:
  • Métricas de tráfico
  • Latencia
  • Errores
• Señales clave:
  • Picos súbitos
  • Patrones repetitivos
  • Distribución geográfica anómala
• Herramientas:
  • NetFlow / sFlow
  • Logs de WAF
  • Alertas SIEM / XDR

Fase 7 — Respuesta a incidentes DDoS

• Activación de playbooks:
  • Identificación del vector
  • Clasificación del ataque
• Acciones inmediatas:
  • Escalado automático de mitigación
  • Activación de proveedores AntiDDoS
  • Ajuste dinámico de reglas
• Coordinación:
  • SOC
  • Proveedor cloud / CDN
  • ISP

Fase 8 — Automatización y SOAR

• Automatización recomendada:
  • Bloqueo dinámico de IPs
  • Ajuste de rate limiting
  • Redirección a scrubbing centers
• Integración con SOAR:
  • Respuesta en segundos
  • Reducción de MTTR
  • Eliminación de tareas manuales

Fase 9 — Validación y pruebas

• Pruebas controladas:
  • Stress testing
  • Simulación de floods
• Relación con Pentesting:
  • Validación de controles
  • Detección de cuellos de botella
• Indicadores:
  • Tiempo de detección
  • Tiempo de mitigación
  • Impacto en usuarios legítimos

Fase 10 — Mejora continua

• Post-incidente:
  • Análisis forense básico
  • Identificación de fallos
• Ajustes:
  • Umbrales
  • Reglas WAF
  • Arquitectura
• Documentación:
  • Runbooks
  • Lecciones aprendidas
  • Métricas históricas

Buenas prácticas clave

• No depender de un solo control
• Proteger DNS como activo crítico
• Evitar autoescalado sin límites
• Preparar comunicación de crisis
• Probar antes de sufrir el ataque

Relación con cumplimiento y negocio

• Alineación con:
  • Continuidad de negocio
  • SLAs
  • ISO 27001
  • NIST CSF
• Evidencias:
  • Logs
  • Métricas
  • Informes de mitigación

Arquitecturas y Vectores DDoS

Visión general

• Un ataque DDoS se compone de:
  • Vectores: cómo se ejecuta el ataque
  • Arquitectura ofensiva: cómo se organiza el atacante
  • Arquitectura defensiva: cómo se diseña la mitigación
• Relación directa con:
  • firewalls
  • WAF
  • cloudflare
  • akamai
  • OWASP

Arquitectura ofensiva DDoS

• Componentes principales:
  • Botnet
  • Infraestructura de Command & Control (C2)
  • Sistemas de amplificación o reflexión
• Características:
  • Distribución geográfica
  • Alta rotación de IPs
  • Uso de tráfico aparentemente legítimo

Botnets

• Origen de nodos:
  • IoT comprometido
  • Servidores vulnerables
  • Equipos de usuario
• Propiedades:
  • Alta escalabilidad
  • Difícil atribución
  • Capacidad multi-vector

Command & Control (C2)

• Funciones:
  • Coordinación de ataques
  • Cambio dinámico de vectores
  • Activación bajo demanda
• Técnicas:
  • DNS dinámico
  • HTTPS cifrado
  • Infraestructura efímera

Vectores DDoS por capa OSI

• Clasificación principal:
  • Volumétricos (L3)
  • De protocolo (L4)
  • De aplicación (L7)

Vectores volumétricos (Capa 3)

• Objetivo:
  • Saturar el ancho de banda
• Técnicas comunes:
  • UDP Flood
  • ICMP Flood
• Variantes de amplificación:
  • DNS Amplification
  • NTP Amplification
  • Memcached Amplification
• Indicadores:
  • Picos extremos de tráfico
  • Tráfico mayoritariamente inválido

Vectores de protocolo (Capa 4)

• Objetivo:
  • Agotar recursos del stack TCP/IP
• Técnicas comunes:
  • SYN Flood
  • ACK Flood
  • TCP Connection Exhaustion
• Características:
  • Menor volumen que ataques L3
  • Alto impacto en dispositivos de red

Vectores de aplicación (Capa 7)

• Objetivo:
  • Consumir recursos de aplicación
  • Evadir defensas volumétricas
• Técnicas comunes:
  • HTTP Flood
  • HTTPS Flood
  • Abuso de APIs
• Dificultad:
  • Tráfico similar a usuarios reales
  • Requiere análisis de comportamiento
• Mitigación principal:
  • WAF
  • Rate limiting
  • Detección de bots

Vectores Low & Slow

• Características:
  • Bajo volumen
  • Alta persistencia
• Técnicas:
  • Slowloris
  • Slow POST
• Impacto:
  • Agotamiento de conexiones
  • Difícil detección por umbrales clásicos

Vectores DDoS a APIs

• Objetivo:
  • Saturar backend
  • Agotar bases de datos
• Técnicas:
  • Flood de requests válidas
  • Queries costosas
  • Abuso de GraphQL
• Contramedidas:
  • API Gateway
  • Throttling por consumidor
  • Validación temprana

Arquitecturas defensivas AntiDDoS

• Principios:
  • Defensa en profundidad
  • Mitigación temprana
  • Separación de responsabilidades
• Capas defensivas:
  • Perímetro
  • Edge
  • Red
  • Aplicación

Arquitectura basada en Edge / CDN

• Uso de proveedores globales:
  • cloudflare
  • akamai
• Beneficios:
  • Absorción de tráfico volumétrico
  • Mitigación Anycast
  • Reducción de latencia
• Ideal para:
  • Servicios públicos
  • Aplicaciones web
  • APIs expuestas

Arquitectura con Scrubbing Centers

• Funcionamiento:
  • Redirección del tráfico sospechoso
  • Limpieza y reenvío del tráfico legítimo
• Integración:
  • ISPs
  • Proveedores AntiDDoS
• Ventaja:
  • Alta capacidad volumétrica

Arquitectura Gatekeeper

• Patrón de diseño:
  • Punto de entrada único
  • Backend aislado
• Beneficios:
  • Reducción de superficie de ataque
  • Control centralizado
• Uso común en:
  • Entornos cloud
  • Microservicios

Arquitectura híbrida on-prem + cloud

• Componentes:
  • Firewalls locales
  • Mitigación cloud bajo demanda
• Ventajas:
  • Control interno
  • Escalado externo en crisis
• Riesgos:
  • Latencia
  • Complejidad operativa

Arquitectura orientada a resiliencia

• Principios:
  • Failover automático
  • Multi-región
  • Desacoplamiento de servicios
• Complementa:
  • hardening
  • Alta disponibilidad
  • Continuidad de negocio

Ataques multi-vector

• Combinación de:
  • Volumétricos
  • Protocolo
  • Aplicación
• Objetivo:
  • Saturar defensas escalonadas
  • Aumentar tiempo de mitigación
• Requisito defensivo:
  • Visibilidad completa
  • Coordinación de controles

Relación con OWASP

• OWASP:
  • Denial of Service como riesgo crítico
  • Énfasis en disponibilidad
• Recomendaciones:
  • Rate limiting
  • Validación de entradas
  • Diseño resiliente

Puntos clave

• No existe un único vector dominante
• La arquitectura defensiva debe asumir ataques combinados
• La mitigación efectiva depende más del diseño que de una sola herramienta