¿Qué es un ataque DDoS?

Significado de un ataque DDoS

Un ataque de denegación de servicio distribuido (DDoS) es un ciberataque cuyo objetivo es saturar un sistema, red o servicio objetivo con una avalancha de tráfico malicioso. A diferencia de un ataque de denegación de servicio (DoS), que se origina en una única fuente, un ataque DDoS aprovecha múltiples dispositivos comprometidos (a menudo formando una botnet) para amplificar el ataque. Estos dispositivos, normalmente secuestrados a través de infecciones de malware, ejecutan solicitudes coordinadas para agotar los recursos de ancho de banda, CPU o memoria, haciendo que el objetivo sea inaccesible para los usuarios legítimos.

¿Cómo funciona un ataque DDoS?

Los ataques DDoS explotan las limitaciones fundamentales de los sistemas en red bombardeándolos con un tráfico excesivo. El ataque suele seguir estas etapas:

• Formación de botnets: El atacante infecta con malware numerosos dispositivos, incluidos equipos, dispositivos IoT e incluso sistemas basados en la nube, convirtiéndolos en bots. Estos dispositivos comprometidos se controlan a través de un servidor de comando y control (C2), que permite al atacante gestionar y orquestar campañas de ataque a gran escala. El malware utilizado puede propagarse a través de correos electrónicos de phishing, descargas maliciosas o aprovechando vulnerabilidades del software.
• Inicio del ataque: Una vez establecida la botnet, el atacante emite órdenes a los dispositivos comprometidos, ordenándoles que envíen cantidades masivas de tráfico al objetivo. El ataque puede consistir en solicitudes de gran volumen, paquetes erróneos o sofisticadas secuencias de solicitudes diseñadas para explotar las debilidades de la pila de red o la arquitectura de aplicaciones del objetivo.
• Agotamiento de recursos: La avalancha de tráfico malicioso satura los recursos del servidor, consumiendo ancho de banda, CPU, memoria y ranuras de conexión a la red. Esto se traduce en un rendimiento degradado, tiempos de respuesta más lentos y, finalmente, una interrupción completa del servicio. Los atacantes suelen utilizar estrategias de ataque adaptativas, cambiando dinámicamente los patrones de tráfico para eludir los esfuerzos de mitigación.
• Impacto y explotación: Los ataques DDoS pueden tener múltiples fines maliciosos, entre ellos:
  • Extorsión (Ransom DDoS o RDoS): Los atacantes exigen un rescate para detener el ataque, aprovechando el miedo y la urgencia.
  • Los atacantes utilizan el DDoS como cortina de humo mientras ejecutan un ataque más selectivo, como la exfiltración de datos o la implementación de malware.
  • Sabotaje competitivo: Los ataques DDoS se utilizan para perturbar a los rivales en sectores como el juego y el comercio electrónico.
  • Hacktivismo y perturbación política: Los atacantes utilizan los ataques DDoS para protestar, interrumpir las operaciones gubernamentales o censurar las plataformas en línea.

Tipos de ataques DDoS

Los ataques DDoS se clasifican en función de las capas a las que se dirigen dentro del modelo OSI:

• Ataques volumétricos: Estos ataques DDoS pretenden consumir el ancho de banda disponible del objetivo abrumándolo con una cantidad masiva de tráfico. El objetivo es saturar el enlace de red e impedir que las solicitudes legítimas lleguen al sistema. Algunos ejemplos son:
  • Inundación UDP: Sobrecarga un servidor con numerosos paquetes del protocolo de datagramas de usuario (UDP), a menudo dirigidos a puertos abiertos y obligando al sistema a gestionar solicitudes que no responden.
  • Inundación ICMP (inundación Ping): Consume ancho de banda enviando un gran volumen de solicitudes de eco del protocolo de control de mensajes de Internet (ICMP), agotando los recursos de la red.
  • Amplificación de DNS: Explota los resolutores de DNS abiertos enviando pequeñas consultas con una dirección de origen falsificada (IP de la víctima), provocando una avalancha de respuestas amplificadas al objetivo.
  • Amplificación de NTP: Similar a la amplificación de DNS pero explota los servidores del protocolo de tiempo de red (NTP) para reflejar y amplificar el tráfico de ataque.

• Ataques de protocolo: Estos ataques DDoS aprovechan las vulnerabilidades de las implementaciones de los protocolos de red para agotar los recursos de los servidores. A menudo manipulan los procesos de gestión de conexiones, lo que provoca fallos del sistema o que los servicios no respondan. Algunos ejemplos clave son:
  • Inundación SYN: Explota el proceso de negociación TCP de tres vías enviando numerosas solicitudes TCP/SYN pero sin completar nunca la negociación, agotando las colas de conexión.
  • Inundación ACK: Abruma los firewalls y los balanceadores de carga enviando un número masivo de paquetes TCP ACK, lo que obliga a los dispositivos a controlar sesiones inexistentes.
  • Ataques de fragmentación: Envía paquetes IP fragmentados que requieren excesivos recursos de reensamblaje, lo que provoca el agotamiento del servidor. Algunos ejemplos son los ataques de lágrima y los exploits de fragmentos solapados.
  • Inundación RST/FIN: Envía numerosos paquetes TCP RST o FIN para forzar la finalización de la sesión, provocando la interrupción de las conexiones activas.

• Ataques a la capa de aplicación (ataques a la capa 7): Estos ataques DDoS se dirigen específicamente a las vulnerabilidades de las aplicaciones y servicios web, a menudo imitando el comportamiento legítimo de los usuarios para eludir la detección. A diferencia de los ataques volumétricos y basados en protocolos, los ataques a la capa de aplicación se centran en agotar la potencia de procesamiento del lado del servidor en lugar del ancho de banda de la red. Los principales vectores de ataque incluyen:
  • Inundación HTTP: Bombardea los servidores web con un número excesivo de solicitudes HTTP, consumiendo los recursos del servidor y provocando tiempos de inactividad.
  • Ataque Slowloris: Abre múltiples conexiones HTTP y las mantiene abiertas indefinidamente enviando solicitudes parciales, impidiendo nuevas conexiones.
  • Inundación de consultas DNS: Abruma los servidores DNS con solicitudes falsas de resolución de dominios, lo que provoca la degradación del servicio DNS.
  • Ataques de agotamiento SSL/TLS: Aprovecha la sobrecarga computacional de las negociaciones SSL/TLS iniciando numerosas sesiones cifradas, lo que satura los recursos del servidor.


Los ataques DDoS en la capa de aplicación pueden dirigirse a diferentes capas del modelo OSI:

• Capa 7 (capa de aplicación): Las inundaciones HTTP y las inundaciones de solicitudes basadas en bots tienen como objetivo las aplicaciones web.
• Capa 6 (capa de presentación): Los ataques basados en SSL/TLS aprovechan la sobrecarga del cifrado.
• Capa 5 (capa de sesión): Los ataques manipulan los mecanismos de gestión de sesiones, provocando fallos en el servicio.
• Capa 4 (capa de transporte): Inundaciones basadas en protocolos como SYN/ACK dirigidas a conexiones TCP.
• Capa 3 (capa de red) : Los ataques ICMP y de paquetes fragmentados interrumpen las operaciones de enrutamiento.
• Capa 2 (capa de enlace de datos): Los ataques como la inundación MAC explotan los mecanismos de conmutación de la red.
• Capa 1 (capa física): Las interrupciones de la capa física, como los ataques por corte de cables, son poco frecuentes, pero pueden ser muy perjudiciales.

Cómo identificar un ataque DDoS

La detección temprana de un ataque DDoS es crucial para una mitigación efectiva. Los indicadores clave incluyen:

• Picos de tráfico inusuales: Un aumento repentino y sostenido del tráfico, especialmente de fuentes desconocidas o geográficamente dispersas.
• Rendimiento lento de la red: Sitios web o aplicaciones que responden con lentitud o se bloquean inesperadamente.
• Fallos inexplicables del servidor: Interrupciones frecuentes e inexplicables de servicios críticos.
• Patrones de tráfico inusuales: Anomalías como solicitudes excesivas a un endpoint específico, consultas repetitivas o tráfico procedente de IP conocidas incluidas en listas de bloqueo.
• Aumento de la utilización de recursos: Alto consumo de CPU, memoria o ancho de banda sin la correspondiente actividad legítima del usuario.

Cómo detener un ataque DDoS

Una vez detectado un ataque DDoS, deben tomarse las siguientes medidas para mitigar su impacto:

• Filtrado del tráfico y limitación de la velocidad: Implemente soluciones de filtrado del tráfico para descartar el tráfico ilegítimo y aplicar límites de velocidad a las solicitudes.
• Implemente servicios de protección DDoS: Utilice proveedores de mitigación DDoS basados en la nube que utilicen análisis de tráfico basados en IA y redes de depuración globales.
• Implemente defensas a nivel de red: Configure firewalls, sistemas de prevención de intrusiones (IPS) y balanceadores de carga para detectar y bloquear el tráfico malicioso.
• Utilice el enrutamiento anycast: Distribuya el tráfico entre varios centros de datos para absorber el tráfico de ataque sin saturar un único punto de fallo.
• Habilite los firewalls de aplicaciones web (WAF): Proteja contra los ataques a la capa de aplicación, como las inundaciones HTTP y la explotación basada en bots.
• Interactúe con un ISP o a una CDN: Trabaje con su proveedor de servicios de Internet (ISP) o con una red de distribución de contenidos (CDN) para filtrar el tráfico de ataque en sentido ascendente antes de que llegue a su infraestructura.

Protección y mitigación DDoS

La mitigación de los ataques DDoS requiere un enfoque de seguridad multicapa, que incluya:

• Monitoreo en tiempo real: Implemente soluciones SIEM para detectar anomalías en el tráfico y activar contramedidas automatizadas.
• Fuente de inteligencia contra amenazas: Utilice la inteligencia contra amenazas en tiempo real para identificar las IP maliciosas conocidas y bloquearlas de forma preventiva.
• Infraestructura redundante: Distribuya los servicios en varias ubicaciones geográficas para absorber los picos de tráfico.

DoS vs. DDoS

Protéjase contra los ataques DDos con la plataforma de seguridad de ManageEngine

Los ataques DDoS generan cantidades masivas de tráfico malicioso, pero las primeras señales de advertencia suelen aparecer en los datos de log, los patrones de red y las fuentes de inteligencia contra amenazas. ManageEngine Log360 es una plataforma de seguridad integral que ayuda a las organizaciones a detectar, mitigar y prevenir ataques DDoS ofreciendo una profunda visibilidad del tráfico de red, patrones anómalos y fuentes de amenazas externas.

1. Monitoreo de logs en tiempo real y detección de anomalías

Los ataques DDoS suelen comenzar con un reconocimiento o inundaciones de prueba de bajo volumen antes de escalar a interrupciones a gran escala. Log360 analiza continuamente los logs de firewalls, IDS/IPS, servidores web y dispositivos de red para detectar señales tempranas de picos anormales en las solicitudes, conexiones fallidas repetidas o tráfico inusual procedente de geolocalizaciones específicas.

• Anomalías en los patrones de tráfico: Detecta aumentos repentinos del tráfico entrante, tasas de conexión anormales o solicitudes excesivas procedentes de un único rango de IP.
• Logs de firewall e IPS: Identifica el exceso de conexiones denegadas, las IP incluidas en listas de bloqueo que intentan acceder y las firmas de ataques basados en protocolos.
• Análisis del comportamiento de usuarios y entidades (UEBA):Señala anomalías como una avalancha repentina de llamadas a la API o picos inusuales en las consultas DNS.

2. Integración de inteligencia contra amenazas para una defensa proactiva

Los ataques DDoS suelen ser ejecutados por botnets, muchas de las cuales están vinculadas a direcciones IP y dominios maliciosos conocidos. Log360 se integra con fuentes globales de inteligencia contra amenazas para correlacionar el tráfico entrante con los actores maliciosos conocidos, ayudando a las organizaciones a bloquear proactivamente las amenazas potenciales antes de que se escalen.

• Correlación de fuentes contra amenazas: Coteja automáticamente las IP sospechosas con listas de bloqueo globales en tiempo real de botnets DDoS.
• Monitoreo de la web oscura: Detecta si los activos de una organización están siendo objeto de ataques en foros clandestinos o servicios de botnet de alquiler.
• Control de geolocalización: Identifica los intentos de DDoS originados en regiones de alto riesgo o IP anónimas.

3. Inspección profunda de paquetes y análisis del tráfico DNS

Los atacantes DDoS suelen utilizar ataques de amplificación a través de DNS, NTP y otros protocolos para inundar un objetivo. Log360 mejora la detección analizando los logs de consultas DNS, inspeccionando las estructuras de paquetes erróneos e identificando el abuso de protocolos.

• Monitoreo del tráfico DNS: Identifica las solicitudes excesivas, las consultas falsificadas y los intentos de amplificación del DNS.
• Detección de ataques basados en protocolos: Detecta intentos inusuales de inundación TCP SYN, paquetes UDP erróneos y otras anomalías del protocolo.
• Monitoreo de agotamiento de SSL/TLS: Detecta un número excesivo de intentos de negociación SSL, lo que indica un ataque DDoS basado en SSL.

4. Alertas y respuesta a incidentes

Log360 genera alertas basadas en anomalías de la red, picos de tráfico inusuales y correlaciones de inteligencia contra amenazas. Los equipos de seguridad pueden configurar alertas para:

• Aumentos inusuales del tráfico procedentes de rangos de IP o geolocalizaciones específicas.
• Solicitudes excesivas a aplicaciones críticas, lo que indica un ataque de Capa 7.
• Repetidos intentos de conexión desde actores de amenazas o botnets marcados.

Para mejorar las acciones de respuesta, los flujos de trabajo personalizables permiten a los equipos definir pasos de escalamiento automatizados, como eliminar un proceso, desactivar un equipo o detener un servicio.

¿Qué sigue?