Entender la Protección Anti-DDoS de un Hosting

Redactado por · Publicado el · Actualizado el

Todo sobre los ataques DDoS y la protección Anti-DDoS de tu proveedor. Niveles L3, L4, L7 explicados de forma simple.

Ver planes VPS Solicitar un presupuesto

Un ataque DDoS (Distributed Denial of Service) consiste en saturar tu servidor con peticiones para hacerlo inaccesible. Según Cloudflare, más del 30% de los sitios ha sufrido al menos un ataque DDoS en el último año.

La protección Anti-DDoS de tu proveedor filtra estos ataques antes de que alcancen tu servidor. By-Hoster incluye protección Anti-DDoS L3/L4/L7 en todas las ofertas.

En 2026, los ataques DDoS se han vuelto banales: kits "DDoS-as-a-Service" disponibles por unos pocos euros en foros, botnets IoT masivos (Mirai y sus variantes), capacidades de ataque superando el terabit por segundo. Cualquier sitio o servidor en línea puede ser objetivo, por azar o deliberadamente. Esta guía explica el funcionamiento real de un ataque DDoS, los tipos comunes, los métodos de mitigación y cómo verificar que la protección anunciada por tu proveedor es seria.

Los 3 niveles de ataque DDoS

  • L3 (Network Layer): ataques de red (ICMP flood, IP fragmentation). Volumen masivo (Tbps posibles)
  • L4 (Transport Layer): ataques TCP/UDP (SYN flood, UDP flood). Saturan la tabla de conexiones
  • L7 (Application Layer): ataques HTTP/HTTPS (slowloris, HTTP flood). Imitan tráfico legítimo, más difíciles de filtrar

Tipos de ataques DDoS comunes en 2026

Más allá de las capas OSI, los ataques DDoS se clasifican por técnica. Conocer los principales ayuda a entender qué debe saber filtrar un Anti-DDoS serio.

  • SYN flood: el atacante envía masivamente paquetes TCP SYN sin terminar nunca el 3-way handshake, saturando la tabla de conexiones del servidor. Mitigación: SYN cookies, rate limiting por IP.
  • UDP flood: envío masivo de paquetes UDP en puertos aleatorios. El servidor intenta responder "port unreachable", saturando el ancho de banda. Mitigación: rate limiting UDP, blackhole de puertos no usados.
  • Amplificación DNS / NTP / Memcached: el atacante consulta un servidor DNS/NTP/Memcached con una IP origen falsificada (tu IP), el servidor responde con un payload 50-50000x más grande. Capacidad récord observada: 2,5 Tbps vía Memcached.
  • HTTP flood (L7): miles de bots envían peticiones GET/POST aparentemente legítimas pero en URLs costosas (búsqueda, carrito, login). Mitigación: challenge JavaScript, CAPTCHA, fingerprinting de bots.
  • Slowloris: apertura de miles de conexiones HTTP mantenidas casi vacías muy lentamente. Saturación de workers Apache/Nginx sin mucho ancho de banda. Mitigación: timeouts agresivos, mod_qos.
  • Ransom DDoS (RDoS): extorsión tipo "paga X bitcoins o lanzamos un ataque de Y Gbps". En 2026, varios grupos (REvil, Lapsus$) han relanzado esta práctica.

Cómo funciona el Anti-DDoS de By-Hoster

Nuestra infraestructura de filtrado en upstream (capacidad multi-Tbps) analiza el tráfico en tiempo real y bloquea los paquetes maliciosos antes de que alcancen tu servidor. Filtrado automático L3/L4 y reglas aplicativas L7 personalizables.

  • Filtrado en upstream (BGP scrubbing): el tráfico destinado a nuestros rangos IP transita por colectores de filtrado antes de alcanzar nuestro datacenter DC-FR_NA(01) en Nueva Aquitania. Los paquetes maliciosos se eliminan en origen.
  • Detección automática: algoritmos de baseline (aprendizaje del tráfico normal) + firmas conocidas (kits DDoS) + heurísticas (tasa de paquetes/seg por IP origen). Activación de la mitigación en pocos segundos.
  • Filtrado L3/L4: gestionado automáticamente, transparente para el cliente. Bloquea SYN floods, UDP floods, amplificaciones de reflexión (DNS, NTP, Memcached, SSDP), fragmentación abusiva.
  • Mitigación L7: reglas aplicativas configurables (rate limit por URL, challenge JS, bloqueo user-agent, geobloqueo). El cliente puede ajustar vía el panel o el soporte técnico.
  • Sin corte de servicio: los usuarios legítimos no perciben nada (quizás +5-20 ms de latencia durante la mitigación activa). Tu sitio permanece accesible.

¿Qué hacer durante un ataque DDoS en curso?

Incluso con un Anti-DDoS serio en upstream, ciertas acciones de tu lado mejoran la resiliencia. Aquí la checklist a seguir cuando se detecta un ataque (latencia anormal, errores 503, alertas de monitoreo):

  • Confirmar el ataque: tail -f /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | head -20 lista las IPs que más impactan. Si ves 50+ IPs extranjeras con cientos de peticiones/seg cada una, probablemente es un ataque.
  • Contactar al soporte del proveedor inmediatamente: un soporte serio activa una mitigación reforzada en pocos minutos. Dales la IP atacada, los logs y la hora de inicio.
  • Activar un modo "under attack": Cloudflare ofrece un modo JS Challenge que fuerza a todos los visitantes a pasar un challenge de navegador. Bloquea el 99% de los bots, degrada ligeramente la UX humana.
  • Rate-limitar a nivel aplicativo: en Nginx, añade limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; luego limit_req zone=one burst=20; en el location.
  • Geobloqueo temporal: si el ataque viene mayoritariamente de un país donde no tienes tráfico legítimo, bloquea ese país con iptables + GeoIP o vía Cloudflare en pocos clics.
  • Documentar para después: conserva los logs, las IPs, los patrones. Un ataque DDoS suele ir seguido de otros intentos, y tus logs permiten refinar las reglas de mitigación.

Mitos e ideas equivocadas sobre el Anti-DDoS

  • "Mi sitio es demasiado pequeño para ser atacado": falso. Los ataques oportunistas apuntan a rangos IP enteros, tu IP vecina basta para que te alcance por efecto colateral. Los RDoS apuntan a pymes al azar para obtener un rescate "moderado".
  • "Cloudflare gratuito basta para todo": Cloudflare protege únicamente el tráfico HTTP/HTTPS que pasa por su red. Si alguien conoce tu IP de origen (vía fuga DNS histórica, certificado SSL, mail header), bypassa Cloudflare y ataca directamente. Una protección a nivel de proveedor sigue siendo indispensable.
  • "El Anti-DDoS ralentiza mi sitio": en condición normal (sin ataque), un Anti-DDoS bien hecho añade < 1 ms de latencia. Durante una mitigación activa, hasta 5-20 ms. Es invisible vs un ataque no mitigado que hace el sitio inaccesible.
  • "Necesito un firewall en mi VPS para bloquear DDoS": falso para ataques volumétricos (L3/L4). Si tu enlace 1 Gbps está saturado por 100 Gbps de ataque, tu firewall no sirve: el tráfico ya está en tu interfaz. El filtrado debe ser en upstream. El firewall sigue siendo útil para ataques L7 dirigidos.
  • "Si tengo Anti-DDoS, ya no necesito fail2ban": falso. Anti-DDoS = volumétrico distribuido. fail2ban = bruteforce/scan dirigido. Ambos son complementarios, no sustitutivos.

¿Cómo verificar que la protección anunciada por un proveedor es seria?

Muchos proveedores anuncian "Anti-DDoS incluido" sin detallar. Aquí los criterios para distinguir una protección real de un marketing vacío:

  • Capacidad de filtrado anunciada: un Anti-DDoS serio anuncia su capacidad (Gbps o Tbps). Si la doc es vaga, pide al soporte la capacidad de mitigación por IP y global.
  • Niveles L3/L4/L7: un Anti-DDoS pro filtra los 3 niveles. Si la oferta solo menciona "filtrado de red" sin L7, eres vulnerable a HTTP floods.
  • Siempre activo vs por activación: "always-on" es mejor (mitigación inmediata). "Por activación" implica algunos segundos/minutos de indisponibilidad antes de que se active la protección.
  • Incluido vs opción de pago: un Anti-DDoS que se factura aparte es una señal negativa. Los proveedores serios lo incluyen (el coste es marginal vs la infra de filtrado).
  • Comunicación post-ataque: pide ver un informe post-mortem típico. Un proveedor serio proporciona tras un ataque: fecha, duración, volumen, tipo de ataque, IPs origen principales.

Preguntas frecuentes

Sí, cualquier sitio puede ser víctima, a menudo por azar (formando parte de un rango IP atacado) o de forma dirigida (competidor, ex-usuario descontento). Por eso el Anti-DDoS debe estar incluido, no como opción de pago.

Nuestra capacidad de filtrado es multi-Tbps, muy superior a los ataques típicos (1-50 Gbps). Los ataques mundiales récord (3 Tbps) están dentro de nuestras capacidades de mitigación.

Muy poco. Los servicios "DDoS-as-a-Service" (booter, stresser) están disponibles por 5 a 50 €/mes en foros underground, proporcionando 10-100 Gbps de ataque bajo demanda. Por eso precisamente los ataques se han vuelto banales: la relación coste/daños es dramáticamente favorable al atacante.

Cloudflare es excelente a nivel L7 y para el tráfico HTTP/HTTPS, pero requiere que tu IP de origen nunca esté expuesta. En la práctica, la IP suele filtrarse (viejos registros DNS, certificados SSL históricos, headers de email). Una protección Anti-DDoS a nivel de proveedor sigue siendo complementaria e indispensable para bloquear ataques que bypassan Cloudflare directamente en la IP.

Un DoS (Denial of Service) viene de una sola fuente (un atacante, una IP). Fácil de bloquear (firewall). Un DDoS (Distributed DoS) viene de miles de fuentes distribuidas (botnet de máquinas infectadas). Imposible de bloquear del lado del servidor, requiere un filtrado en upstream en el proveedor o un servicio especializado.

Sí, si está comprometido. Un servidor mal asegurado (contraseñas débiles, servicios expuestos, paquetes no parcheados) puede ser reclutado en un botnet y participar en ataques. Consecuencias: tu IP en blacklist, tu proveedor puede suspender la cuenta. Medidas: SSH por claves, fail2ban, UFW, actualizaciones automáticas, monitoreo del ancho de banda saliente.

El blackhole es la medida última: el proveedor anuncia tu IP como "no enrutable" vía BGP, lo que tira todo el tráfico destinado al vacío. Tu sitio se vuelve inaccesible, pero la infraestructura del proveedor se preserva. Un blackhole dura típicamente 1-4h, el tiempo que el ataque se calma. Esta medida solo se usa como último recurso para ataques masivos que ninguna mitigación puede absorber.

Ver también