Ataques DDoS de volumen extremo: ¿qué son y cómo llegan a miles de millones de paquetes por segundo?

Ataques DDoS de volumen extremo: ¿qué son y cómo llegan a miles de millones de paquetes por segundo?

El término DDoS hipervolumétrico designa ataques que presionan la capacidad máxima de los enlaces — saturan con tráfico hasta que la infraestructura no puede procesar las solicitudes. En septiembre de 2025 el listón volvió a subir: los filtros automáticos en el perímetro de un proveedor rechazaron oleadas de hasta 22,2 Tbit/s y 10,6 mil millones de paquetes/s — sin intervención manual.

Y esto no son solo cifras de un comunicado de prensa, es una tendencia: los picos de tráfico crecen rápidamente, los estallidos son más breves y la geografía es más amplia. Un buen panorama ofrece este material. En él se explica brevemente por qué «hipervolumétricos» ya son una clase separada de incidentes y no solo «flujos muy grandes».

Aclarando la terminología. Cloudflare, uno de los mayores actores del mercado, formalmente clasifica como ataques hipervolumétricos todo lo que en el nivel de red L3/L4 supera 1 Tbit/s o 1 mil millones de paquetes/s, y en el nivel de aplicación L7 — por encima de 1 millón de solicitudes HTTP/s. Esto es importante: en L7 la «volumetría» se mide en solicitudes, no en bits, porque ahí se topan con la CPU, los pools de conexiones y las bases de datos.

¿Cómo empieza el «hiper»?

El hipervolumen surge de la combinación de tres factores: el «apoyo» disponible para la amplificación, generadores de tráfico escalables y una orquestación coordinada del ataque. Simplificando — es (a) protocolos y servicios que por naturaleza devuelven más de lo que reciben; (b) plataformas gestionadas capaces de impulsar sincrónicamente una avalancha de gigapaquetes; (c) una táctica que elude reglas umbral simples.

Amplificación y reflexión: cuando una petición pequeña genera una respuesta enorme

La vía clásica hacia los terabits es la reflexión UDP y la amplificación. El atacante falsifica la dirección IP de la víctima, envía una pequeña petición a un servicio expuesto en internet (DNS, NTP, CLDAP, memcached), y la gran respuesta se dirige a la víctima. El coeficiente de amplificación es clave: en memcached llegó a ser de decenas de miles (en picos se observó ~51 200×), en CLDAP — ~56–70×, en NTP — del orden de decenas de veces. Esto explica el fenómeno de «de la nada — una montaña de tráfico».

Botnets de nueva generación: no cámaras y routers, sino contenedores y nubes

Los ejércitos IoT clásicos siguen en activo, pero en escena apareció otra fuente de potencia — las capacidades en la nube y de contenedores. Investigadores describieron la campaña ShadowV2, que infecta entornos Docker mal protegidos y los alquila como DDoS-as-a-Service. Este modelo elimina límites antiguos de ancho de banda y pps, y además simplifica la logística: un panel controla miles de instancias con uplinks directos.

Dirección fina: ráfagas cortas, vectores mixtos y ataques «en alfombra»

Los incidentes hipervolumétricos cada vez más se presentan como ráfagas cortas de 20–60 segundos: mientras los sistemas de firmas reaccionan, el objetivo ya está saturado; después llega otra ola desde otra geografía. Paralelamente aumenta la proporción de ataques tipo «bombardeo en alfombra» — cuando se ataca no a una sola víctima, sino a decenas o cientos de direcciones de un prefijo simultáneamente. Esto evita disparadores simples: en cada host parece «solo 20–30 Mbit/s», pero en la agregación total son cientos de gigabits. Los informes sectoriales registran un crecimiento sostenido de esos ataques «horizontales».

Por qué importa no solo Tbit/s sino también pps

Al hablar de «22,2 Tbit/s» es fácil olvidar el segundo parámetro — los miles de millones de paquetes por segundo. Para routers y cortafuegos precisamente los pps son letales: cada paquete genera interrupciones, búsquedas en tablas, actualizaciones de contadores y, a veces, creación de estado. Por eso un ataque con datagramas UDP pequeños a más de 10 mil millones de paquetes/s puede «secar» la CPU del enrutador y la planos de control incluso con un bps moderado. El incidente récord combinó ambos picos — 22,2 Tbit/s y 10,6 mil millones de paquetes/s.

Hipervolumen en L7: millones de solicitudes HTTP en lugar de terabits

En el nivel de aplicación el «hiper» se manifiesta de otra manera. En 2023 las redes experimentaron oleadas de Reset rápido de HTTP/2, cuando los picos alcanzaron cientos de millones de solicitudes por segundo. Aquí se tensionan las colas, los trabajadores y el pool de la base de datos, caen los límites de conexiones y se agotan tokens en pasarelas API — y eso puede ocurrir incluso con una carga de canal nominal. Por eso en la definición de hipervolumen para L7 tiene sentido hablar de millones de solicitudes/s, no de Tbit/s.

Cómo se construyen estos ataques: análisis por capas

L3/L4: reflexión, amplificación, suplantación

  • Suplantación de direcciones de origen. Sin suplantación la reflexión es imposible. Por eso la implantación de BCP 38/84 (filtrado de ingreso, uRPF) es la piedra angular para sanear internet.
  • Selección del vector. CLDAP, NTP, DNS, memcached — se evalúa el «ecosistema de servicios expuestos» y los coeficientes de amplificación disponibles. memcached históricamente ofreció amplificación de decenas de miles — suficientes cientos de reflectores para generar un terabit.
  • Táctica. Ráfagas cortas, desincronización regional, bombardeo en alfombra por prefijo, cambio de puertos UDP para confundir ACL estáticas.

L7: agotamiento de estado y solicitudes «baratas»

  • Multiprocesamiento de protocolos. HTTP/2/3 permiten muchos flujos lógicos en una sola conexión y explotar eficientemente los límites del servidor.
  • Endpoints «baratos». Se apuntan rutas ligeras para el cliente pero costosas para el servidor: búsquedas, ordenaciones, informes, peticiones con cachés fríos.
  • Imitadores de tráfico legítimo. Se ajustan huellas TLS/JA3, encabezados User-Agent y cookies según la estadística de usuarios reales de una región.

Panorama de orígenes: desde IoT y firmware hasta «nubes como servicio»

Los routers domésticos y las cámaras siguen constituyendo gran parte del arsenal atacante. Pero ya se observan ataques relacionados con la comprometición de infraestructuras de actualización y con oleadas de infecciones tras esos incidentes. Paralelamente crecen los botnets «de alquiler» que monetizan contenedores expuestos. En la crónica de los últimos meses — picos terabit y nuevas historias sobre granjas DDoS en la nube.

Cómo defenderse: estrategia, arquitectura y rutina

Contra los hipervolúmenes no funcionan parches puntuales. Se necesitan soluciones coordinadas en varios niveles — desde la enrutación hasta las aplicaciones. A continuación, un «mapa de acciones» operativo que se puede adaptar según el rol: proveedor, red corporativa, plataforma de producto.

Perímetro de red y proveedores

  • Antisuplantación. En los perímetros habilite uRPF y otros mecanismos de BCP 38/84. No es una panacea, pero reduce la clase de reflexiones con origen falsificado. No se quede en el lema — aplíquelo en todos los routers de borde.
  • Coordinación RTBH/FlowSpec. Playbooks probados para remotely triggered blackhole y BGP FlowSpec ahorran minutos. Documente quién y bajo qué señales ordena, qué community usar y cómo revocar.
  • Anycast y distribución de ingestión. Distribuir puntos de presencia aligera un canal y aumenta la distancia de ataque. No se trata solo de la CDN, también de servicios de autenticación, pasarelas API y brokers de eventos.
  • CoPP y protección del plano de control. Políticas para ICMP, TTL-expired y protocolos de enrutamiento. Planifique perfiles CoPP para «tiempo normal» y «tormenta», y pruébelos en laboratorio.
  • Scrubbing como proceso. Los sistemas de depuración son eficaces cuando las rutas de desvío y los criterios de activación están predefinidos. No concentre todo en un único nodo de capacidad fija — distribuya la limpieza más cerca de las fuentes.

Propietarios de aplicaciones y plataformas

  • Prepare L7 para millones de solicitudes/s. Limite la competencia por recursos costosos (pools de BD, colas), aplique límites de concurrencia y fair queuing por claves. Para APIs son útiles tokens tipo «bucket» y límites «por cliente», no «por IP».
  • Verificaciones inteligentes. Los CAPTCHA clásicos degradan la experiencia y se automatizan. Son preferibles comprobaciones invisibles: rompecabezas computacionales o temporales, marcadores de un solo uso, huellas TLS y señales de comportamiento.
  • Cache distribuido. Respuestas baratas ante un ataque son críticas: cachee variantes de solicitudes costosas, use cache negativo y ofrezca «respuestas simuladas» para endpoints caros durante degradación.
  • Eliminar reflectores propios. No exponga memcached por UDP 11211, ni CLDAP sin ACL, ni NTP «parlante». Compruebe la exposición: esto protege tanto a usted como a terceros.
  • Diseño de degradación. Versión «ligera» del sitio, widgets desactivables, colas de espera, forzar contenido estático.

Nubes y contenedores

  • Exposición cero por defecto. Para Docker/K8s — políticas claras de security groups, prohibir 0.0.0.0/0 para servicios UDP, inventario regular de puertos abiertos.
  • Endurecimiento de imágenes base. Elimine demonios innecesarios, desactive el arranque automático de servicios y mecanismos tipo UPnP, y vigile la cadena de suministro. Los casos de infecciones masivas de contenedores expuestos no son teoría.
  • Señales de detección temprana. Anomalías en el tráfico egress, lotes de datagramas UDP cortos a puertos extraños, consultas a reflectores conocidos — desencadenantes para aislamiento automático de la instancia.

Lista de verificación de preparación para hipervolumen

  • Antisuplantación habilitada y verificada en todos los dispositivos de borde (uRPF/ingress-ACL según BCP 38/84). Auditoría completa trimestral.
  • Playbooks para conmutaciones RTBH/FlowSpec/Anycast. ASNs concretos, communities y contactos 24/7 especificados.
  • Sintéticos: ejercicios regulares — picos cortos de pps en laboratorio, verificación de CoPP y escenarios de degradación.
  • Conjunto de métricas: no solo bps, sino pps/cps, tiempo de respuesta, estado de pools, utilización del plano de control.
  • Inventario de exposición: DNS/NTP/CLDAP/memcached inaccesibles desde fuera; Docker/K8s — solo los servicios necesarios expuestos.
  • Contratos y SLA con proveedores y plataformas — objetivos dirigidos por pps y escenarios de escalado.

Errores comunes y ideas peligrosas

  • «Tenemos 200 Gbit de canal — eso bastará». No bastará si llegan 500 Gbit y 3 mil millones de paquetes/s, o si el ataque se distribuye por el prefijo y satura la agregación.
  • «Limitamos por IP y listo». En reflexiones las IPs están falsificadas, y en L7 el atacante imita usuarios y cambia el transporte.
  • «Un scrubbing en un único CPD es como una puerta blindada». La capacidad fija se quema; la limpieza debe ser distribuida y automática.
  • «No tenemos nada crítico — no hace falta preocuparse». El DDoS ataca la disponibilidad y también al presupuesto (excesos, trabajos de emergencia, multas por SLA).

Un poco de historia y contexto

El camino hacia el «hiper» queda claro con dos episodios. El primero — 2018, cuando GitHub sufrió un golpe de 1,35 Tbit/s sin botnets: lo provocó la reflexión de memcached. El segundo — 2023–2025, cuando a los terabits se añadieron cientos de millones de solicitudes L7 por segundo y una nueva ola de picos UDP terabit — de 7,3 a 11,5 Tbit/s, y luego hasta 22,2 Tbit/s.

Práctica de implementación: por dónde empezar mañana

  1. Despliegue antisuplantación. Compruebe y documente filtros uRPF/ingress en todas las interfaces externas. Apóyese en BCP 38 y BCP 84.
  2. Reúna la carta de contactos. ¿Qué uplinks aceptan RTBH? ¿Quién acepta FlowSpec? ¿Qué communities usar? ¿Dónde están los contactos 24/7?
  3. Haga inventario de la exposición. Escanee hacia fuera: ¿tiene NTP/DNS/CLDAP/memcached «parlantes»? Esto protege tanto a usted como a otros.
  4. Defina modos de degradación. Qué se desactiva primero, cómo cambia la política de caché, cómo es la versión «ligera» de la aplicación.
  5. Ensaye. Ejercicios con picos cortos de pps, verificación de CoPP y colas, pruebas L7 con imitación de huella real de cliente.

Conclusiones

Los DDoS hipervolumétricos ya no son una excentricidad. Son el telón de fondo con el que hay que trabajar: terabits y miles de millones de paquetes por segundo, ráfagas cortas, ataques distribuidos por prefijo y vectores mixtos. Las fuentes también cambian: de pilas de hardware IoT a granjas en la nube y al modelo de «DDoS por suscripción».

No existe un arma universal, pero sí prácticas efectivas: antisuplantación según BCP 38/84, ingestión y limpieza distribuida del tráfico, playbooks de enrutamiento pulidos, degradación pensada de las aplicaciones y trabajo sistemático sobre la exposición de protocolos amplificadores. Cuanto antes esto sea rutina, menor será la probabilidad de que la próxima tormenta de tráfico sea la última.

Alt text
article-title

Deni Haipaziorov