¿Cómo mitigar un ataque DDoS de más de 100Gbps?

Por qué 100Gbps es una frontera psicológica

100Gbps es una frontera psicológica porque cualquier comprador técnico lo traduce enseguida en riesgo de infraestructura: un puerto 100G puede caer, el tránsito puede saturarse y ya no basta pensar en “servidor + firewall”.

Aunque el resultado real dependa del burst, del mix de paquetes y de la topología, ese umbral obliga a hablar de puertos, handoff, mitigación upstream y retorno limpio. Ahí es donde un comprador serio empieza a distinguir marketing de arquitectura real.

Volumétrico y aplicativo no se tratan en la misma capa

Un ataque volumétrico busca primero banda, buffers, PPS o flow handling. Un ataque aplicativo busca agotar lógica de servicio, proxys o recursos de aplicación. Pueden coexistir, pero no conviene tratarlos igual.

Cuando hablamos de más de 100Gbps, la prioridad es sobrevivir al volumen y al PPS. Si el enlace cae antes, la mejor lógica L7 ya no sirve.

• La presión volumétrica se trata primero a nivel de absorción.
• El filtrado aplicativo viene después y requiere más contexto.
• Mezclar ambos niveles demasiado pronto crea falsos positivos o coste inútil.

Saturación de enlace, PPS y CPU: tres fallos distintos

Un DDoS no rompe un servicio de una sola forma. Puede llenar el enlace, matar por paquetes por segundo o agotar la CPU de la lógica de mitigación. Por eso un número de capacidad sin arquitectura dice muy poco.

El papel del prefiltrado en amont

El prefiltrado upstream existe para degrossir. No debe decidir por sí solo toda la legitimidad, sino retirar patrones suficientemente obvios para que el ruido masivo no llegue a las capas más caras.

Ese suele ser el mejor punto coste/eficacia: menos ruido bruto para el servidor de filtrado, más margen en los enlaces y más estabilidad para lo que sí requiere inteligencia.

El papel de un servidor de filtrado

El servidor de filtrado es la etapa más precisa. Recibe tráfico ya reducido, aplica firmas más afinadas, mantiene visibilidad útil y prepara el retorno limpio hacia producción.

También es donde se puede conectar lógica más específica: prefiltrado custom, motor XDP, pipeline DPDK o filtrado antes de un proxy. Bien usado, no es un simple relay, sino la bisagra entre mitigación de red y continuidad real del servicio.

El papel de los túneles y del retorno limpio

Mitigar nunca basta. El tráfico limpio tiene que volver al lugar correcto sin obligar a rehacer toda la producción. Ahí cobran sentido GRE, IPIP, VXLAN, BGP over GRE o cross-connect.

El modelo correcto depende del contexto: servidor dedicado existente, backbone, cluster, proxy o necesidad de conservar IPs públicas. La clave no es el nombre del túnel, sino la coherencia del handoff con la topología real.

• Un buen handoff evita una migración completa impuesta por la protección.
• El túnel forma parte del modelo operativo, no solo del transporte.
• El retorno limpio debe pensarse antes del ataque, no después de la saturación.

Escenario tipo en Peeryx

Tomemos un servicio gaming ya en producción sobre un dedicado existente con 2x10G en el lado cliente. Cuando el ataque supera 100Gbps, el objetivo no es entender cada detalle al instante, sino evitar que el ruido golpee directamente la producción.

Un escenario viable consiste en llevar prefijos o IPs protegidas a Peeryx, aliviar upstream los patrones más evidentes, pasar el flujo residual por un servidor de filtrado dedicado y devolver después el tráfico limpio por GRE o BGP over GRE al servidor del cliente. El proxy final o motor custom se ocupa de lo que aún necesita más contexto.

Errores frecuentes

• Pensar que 100Gbps es solo un tema de ancho de banda.
• Meter toda la lógica en una sola capa.
• Olvidar el retorno limpio hasta descubrir que producción ya no puede aceptar bien el flujo.
• Filtrar demasiado en amont sin baseline real del tráfico normal.
• Comprar una promesa de mitigación sin entender el handoff.

FAQ