Tipos de Ataques DDoS

Los ataques DDoS (Distributed Denial of Service) inundan sistemas objetivo con tráfico malicioso para agotar recursos y denegar servicio a usuarios legítimos. Los tipos de ataques van desde inundaciones volumétricas que consumen ancho de banda hasta ataques de capa de aplicación que se dirigen a servicios específicos, cada uno requiriendo diferentes estrategias de detección y mitigación.

Cómo funcionan los ataques DDoS

Los ataques DDoS aprovechan fuentes distribuidas—típicamente botnets de dispositivos comprometidos—para generar volúmenes de tráfico abrumadores. El objetivo es agotar ancho de banda, recursos de computación o capacidad de conexión, haciendo que el objetivo no esté disponible.

┌─────────────────────────────────────────────────────────────────┐
│                    Arquitectura de Ataque DDoS                  │
│                                                                 │
│  ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐    │
│  │ Bot 1   │ │ Bot 2   │ │ Bot 3   │ │ Bot ... │ │ Bot N   │    │
│  │ (IoT)   │ │ (Server)│ │ (PC)    │ │         │ │ (Mobile)│    │
│  └────┬────┘ └────┬────┘ └────┬────┘ └────┬────┘ └────┬────┘    │
│       │           │           │           │           │         │
│       └───────────┴───────────┼───────────┴───────────┘         │
│                               │                                 │
│                        ┌──────▼──────┐                          │
│                        │   C&C       │                          │
│                        │  Server     │                          │
│                        └──────┬──────┘                          │
│                               │ Comando de ataque               │
│                               ▼                                 │
│                        ┌──────────────┐                         │
│                        │    Target    │                         │
│                        │   Server     │◀─── Tráfico abrumador   │
│                        │   (Victim)   │                         │
│                        └──────────────┘                         │
└─────────────────────────────────────────────────────────────────┘

Clasificación de Ataques DDoS

Los ataques DDoS se dirigen a diferentes capas del modelo OSI, cada una con características y enfoques de mitigación distintos.

Capa	Tipo de Ataque	Objetivo	Impacto Principal
3-4	Volumétrico	Ancho de banda	Saturación de red
3-4	Protocolo	Tablas de estado	Agotamiento de recursos
7	Aplicación	Lógica de aplicación	Indisponibilidad de servicio

1. Ataques Volumétricos (Capa 3-4)

Sobrepasan el ancho de banda de red con volúmenes masivos de tráfico.

Tipo de Ataque	Mecanismo	Volumen Típico	Detección
UDP Flood	Paquetes UDP aleatorios a puertos aleatorios	10-1000+ Gbps	Pico de volumen de tráfico
ICMP Flood	Solicitudes ping sobrepasan el objetivo	1-100 Gbps	Rate de ICMP
Amplificación	Tráfico reflejado de terceros	10-700 Gbps	Puerto/protocolo fuente
DNS Amplification	Respuestas DNS amplificadas 70x	10-500 Gbps	Ratio de respuesta DNS
NTP Amplification	Respuestas NTP monlist 100x	10-400 Gbps	Patrón de tráfico NTP
SSDP Amplification	Respuestas UPnP discovery 30x	5-200 Gbps	Puertos fuente SSDP

Ejemplo de Ataque de Amplificación:

Atacante ──(pequeña solicitud)──▶ Servidor Público ──(respuesta grande)──▶ Víctima

Ejemplo DNS Amplification:
Atacante envía: Query DNS de 60 bytes (IP fuente falsificada = IP víctima)
Servidor responde: Respuesta DNS de 4000 bytes a la víctima
Factor de amplificación: ~70x

2. Ataques de Protocolo (Capa 3-4)

Explotan debilidades en protocolos de red para agotar recursos del servidor.

Tipo de Ataque	Mecanismo	Objetivo de Recurso	Detección
SYN Flood	Handshakes TCP incompletos	Tabla de conexiones	Ratio SYN/ACK
ACK Flood	Paquetes ACK a conexiones inexistentes	CPU de firewall	ACKs inválidos
SYN-ACK Flood	Respuestas SYN-ACK falsificadas	Tracking de conexiones	SYN-ACKs inesperados
FIN/RST Flood	Terminación anormal de conexión	Tablas de estado	Rate FIN/RST
Smurf Attack	ICMP a direcciones broadcast	Ancho de banda de red	Tráfico broadcast
Ping of Death	Paquetes ICMP sobredimensionados	Sistemas legacy	ICMP grande

Ejemplo de SYN Flood:

Handshake TCP Normal:
Cliente ──SYN──▶ Server
Cliente ◀─SYN-ACK─ Server
Cliente ──ACK──▶ Server (Conexión establecida)

Ataque SYN Flood:
Atacante ──SYN──▶ Server (IP falsificada)
Server ◀─SYN-ACK─ (no llega a ningún lado)
Atacante ──SYN──▶ Server (IP falsificada)
Server ◀─SYN-ACK─ (no llega a ningún lado)
... (miles más)

Resultado: La tabla de conexiones del servidor se llena con conexiones medio abiertas
           Memoria agotada, conexiones legítimas fallan

3. Ataques de Capa de Aplicación (Capa 7)

Se dirigen a funciones específicas de aplicación con solicitudes aparentemente legítimas.

Tipo de Ataque	Mecanismo	Recurso Objetivo	Detección
HTTP Flood	Solicitudes GET/POST masivas	Servidor web	Rate/patrón de requests
Slowloris	Transmisión lenta de headers HTTP	Pools de conexión	Rate de headers lento
Slow POST	Transmisión lenta de body de request	Hilos de servidor	Duración larga de request
DNS Water Torture	Queries de subdominios aleatorios	Servidor DNS	Rate de NXDOMAIN

Ejemplo de Slowloris:

El atacante abre 100+ conexiones al servidor
Envía headers HTTP parciales lentamente:

Conexión 1: "GET / HTTP/1.1\r\nHost: target.com\r\nX-Header1: a"
Conexión 2: "GET / HTTP/1.1\r\nHost: target.com\r\nX-Header1: b"
...

Cada 10-15 segundos, envía datos de header adicionales para mantener la conexión viva
El servidor mantiene las conexiones abiertas esperando headers completos
Pool de conexiones agotado, usuarios legítimos no pueden conectarse

4. Ataques Multi-Vector

Combinan múltiples tipos de ataque simultáneamente para sobrepasar defensas.

Combinación	Estrategia	Complejidad
Volumétrico + Aplicación	Saturar ancho de banda mientras ataca app	Media
SYN Flood + HTTP Flood	Agotar conexiones y recursos de app	Media
Amplificación + Protocolo	Saturación de red + agotamiento de estado	Alta
Los tres tipos	Máxima disrupción	Muy Alta

Estadísticas de Duración y Escala de Ataques

Métrica	Rango Típico	Extremos Notables
Duración	10 min - 2 horas	24+ horas (sostenido)
Ancho de banda	1-100 Gbps	3.47 Tbps (AWS, 2020)
Paquetes/seg	1-50 Mpps	809 Mpps (2024)
Solicitudes/seg	1K-1M RPS	71M RPS (HTTP/2, 2023)
Ataques concurrentes	1-3 tipos	12+ tipos simultáneamente

Frecuencia de Ataques (2025):

15+ millones de ataques DDoS por año globalmente
Promedio de 41,000 ataques por día
25% de ataques exceden 100 Gbps
Duración promedio: 30 minutos
60% se dirigen a aplicaciones web (Capa 7)

Estrategias de Mitigación

Mitigación de Ataques Volumétricos

Técnica	Cómo Funciona	Impacto de Latencia
Traffic scrubbing	Filtrar tráfico atacante en centro de scrubbing	10-50ms
BGP routing	Rutear tráfico a través de proveedor de mitigación	Variable
Anycast	Distribuir tráfico a través de red global	Reduce congestión
Rate limiting	Limitar tráfico por IP fuente	<1ms

Mitigación de Ataques de Protocolo

Técnica	Cómo Funciona	Efectividad
SYN cookies	Manejo de SYN sin estado	Alta para SYN floods
Connection limiting	Limitar conexiones por fuente	Media-Alta
TCP intercept	Proxy de conexiones TCP	Alta
Firewall rules	Descartar patrones de ataque conocidos	Media

Mitigación de Ataques de Aplicación

Técnica	Cómo Funciona	Efectividad
WAF rules	Bloquear patrones de request maliciosos	Alta
Rate limiting por URI	Limitar requests a endpoints específicos	Alta
CAPTCHA challenges	Verificar usuarios humanos	Media-Alta
Bot detection	Identificar y bloquear tráfico de bots	Alta
Connection timeout	Cerrar conexiones lentas	Alta para Slowloris

Errores Comunes y Soluciones

Error: Confiar solo en mitigación on-premise Solución: Use protección DDoS basada en cloud para ataques volumétricos que exceden su ancho de banda

Error: Sin análisis de tráfico baseline Solución: Establezca baselines de tráfico para detectar anomalías rápidamente; conozca sus patrones normales

Error: Mitigar solo en Capa 3-4 Solución: Los ataques de Capa 7 requieren defensas de capa de aplicación (WAF, rate limiting, bot detection)

Error: Sin plan de respuesta a incidentes Solución: Documente procedimientos de respuesta DDoS, rutas de escalación y plantillas de comunicación

Error: Solo mitigación manual Solución: Implemente detección y mitigación automatizadas para responder en segundos, no minutos

Preguntas Frecuentes

¿Cuál es la diferencia entre DDoS y DoS? DoS (Denial of Service) se origina de una única fuente. DDoS (Distributed Denial of Service) usa múltiples fuentes—típicamente miles de dispositivos comprometidos—para generar tráfico de ataque, haciendo más difícil de bloquear.

¿Qué es una botnet? Una botnet es una red de computadoras comprometidas, dispositivos IoT o servidores controlados por un atacante. Las botnets generan tráfico DDoS, envían spam o realizan otras actividades maliciosas sin conocimiento de los propietarios de los dispositivos.

¿Cómo funcionan los ataques de amplificación? Los ataques de amplificación envían solicitudes pequeñas a servidores públicos con IPs fuente falsificadas (la dirección de la víctima). Los servidores envían respuestas grandes a la víctima, amplificando el tráfico 10-700x. Protocolos comunes de amplificación incluyen DNS, NTP y SSDP.

¿Por qué los ataques de Capa 7 son más difíciles de detectar? Los ataques de Capa 7 usan solicitudes HTTP/HTTPS legítimas que parecen normales para dispositivos de red. No requieren ancho de banda masivo, haciendo más difícil distinguirlos de tráfico legítimo. Se dirigen a funciones específicas de aplicación, requiriendo detección consciente de aplicación.

¿Cuánto duran típicamente los ataques DDoS? La mayoría de los ataques DDoS duran 10-60 minutos. Sin embargo, ataques sofisticados pueden persistir por horas o días, especialmente ataques de extorsión. Los ataques extendidos requieren capacidad de mitigación sostenida.

¿Pueden sitios web pequeños ser objetivos de DDoS? Sí. Los servicios DDoS-for-hire hacen ataques asequibles ($5-50), así que incluso sitios pequeños son objetivos. Las motivaciones comunes incluyen extorsión, competencia y ataques ideológicos. Ningún sitio es demasiado pequeño para necesitar protección.

¿Cuál es el costo del downtime por DDoS? Costo promedio: $5,600-9,000 por minuto de downtime (Gartner). Los costos incluyen pérdida de ingresos, productividad, remediación y daño a reputación. Los ataques extendidos pueden costar millones.

¿Cómo distingo un pico de tráfico de un ataque DDoS? Los picos de tráfico de eventos legítimos (lanzamientos de productos, contenido viral) muestran patrones de request normales. Los ataques DDoS muestran patrones anómalos: distribución de fuente inusual, requests repetitivos, firmas de ataque conocidas o violaciones de protocolo.

¿Debo pagar una demanda de extorsión DDoS? Las autoridades y expertos en seguridad recomiendan no pagar. El pago incentiva ataques futuros y no garantiza que el ataque se detenga. En su lugar, implemente protección DDoS y reporte a las autoridades.

¿Qué es la mitigación DDoS como servicio? Los servicios de mitigación DDoS proporcionan scrubbing de tráfico basado en cloud. Durante ataques, el tráfico se rutea a través de la red del proveedor donde el tráfico malicioso se filtra. El tráfico limpio llega a sus servidores. Los proveedores incluyen plataformas cloud, CDNs y compañías de seguridad especializadas.

Cómo implementar en Azion

Azion proporciona protección DDoS integrada en todas las capas:

Protección de Capa de Red: Mitigación automática de ataques volumétricos en ubicaciones edge
Protección de Protocolo: Soporte de SYN cookies y limitación de conexiones
Protección de Aplicación: WAF con rate limiting y bot detection para ataques de Capa 7
Distribución Global: Red anycast distribuye tráfico de ataque a través de múltiples ubicaciones

La plataforma de Azion detecta y mitiga ataques DDoS cerca de la fuente, protegiendo su infraestructura origin mientras mantiene disponibilidad para usuarios legítimos.

Más información en la Documentación de Azion.

Fuentes:

Cloudflare. “DDoS Threat Report 2025.”
NETSCOUT. “Threat Intelligence Report.” 2025.
Radware. “Global Application & Network Security Report.” 2025.
Link11. “DDoS Statistics and Trends.” 2025.
NIST. “Guide to DDoS Attacks.” SP 800-83.

Únete a nuestra comunidad