Una guía práctica sobre saturación de enlaces, riesgo de facturación al 95.º percentil, blackhole, enrutamiento asimétrico, filtrado adaptativo y la importancia tanto del Gbps como del Mpps.
Un ataque puede llenar el puerto mucho antes de que la aplicación pueda reaccionar.
Los picos maliciosos pueden distorsionar la factura basada en 95.º percentil o tráfico.
El enrutamiento asimétrico permite entrar por Peeryx y salir localmente cuando conviene.
No se trata solo de filtrar rápido, sino de mantener el tráfico legítimo funcionando.
Hoy en día, muchas infraestructuras expuestas a Internet — plataformas SaaS, servicios en tiempo real, entornos de hosting, gaming o APIs — están sometidas con frecuencia a ataques DDoS cada vez más grandes y sofisticados.
En un modelo clásico de conectividad, esos ataques pueden saturar los enlaces, interrumpir el servicio, disparar la factura de tránsito cuando se cobra por 95.º percentil o por tráfico, o forzar el blackhole de la IP atacada, afectando de forma directa a los usuarios legítimos.
Por eso el tránsito IP protegido anti-DDoS es importante: en lugar de dejar que el tráfico malicioso llegue al borde de producción y reaccionar demasiado tarde, el tráfico pasa antes por una capa de mitigación diseñada para filtrar el ataque y devolver solo tráfico limpio.
Antes de hablar del tránsito protegido, hay que entender por qué el modelo clásico deja de funcionar cuando un servicio empieza a recibir ataques serios o repetidos.
En un entorno estándar, el tráfico malicioso llega demasiado cerca de producción antes de que exista un filtrado realmente decisivo. Ahí aparecen la saturación, la subida de factura y las respuestas de emergencia demasiado destructivas.
Un ataque volumétrico puede superar 100 Gbps o incluso varios Tbps. Un puerto de 10G, 25G o 100G puede llenarse antes de que el servicio tenga tiempo de reaccionar.
Si la conectividad se cobra por 95.º percentil o por tráfico, unas pocas horas de tráfico no deseado pueden alterar de forma importante la factura mensual.
En muchos entornos, la respuesta de emergencia termina siendo un blackhole sobre la IP atacada. El resto de la red quizá sobreviva, pero el cliente objetivo queda fuera de línea.
La protección estándar suele basarse en perfiles de mitigación predefinidos. Funcionan en patrones comunes, pero son menos flexibles en tráficos atípicos y exponen más a falsos positivos.
El tránsito IP protegido anti-DDoS consiste en hacer pasar el tráfico destinado a tus prefijos IP por una infraestructura de mitigación capaz de filtrar el ataque aguas arriba y devolver únicamente el tráfico legítimo a tu infraestructura.
A diferencia de una protección cerrada o basada únicamente en perfiles estáticos rígidos, este diseño conserva el control sobre la arquitectura de red, los modos de entrega y la forma en que el tráfico vuelve al cliente.
El cliente anuncia sus prefijos IP mediante BGP. A partir de ahí, existen varios modelos: usar el tránsito protegido de forma permanente, activarlo solo durante ataques — menos ideal por el tiempo de convergencia BGP — o elegir enrutamiento simétrico o asimétrico según la operación.
En Peeryx, el enrutamiento asimétrico no es un modo degradado. Un cliente puede hacer entrar el tráfico por Peeryx y mantener la salida local por otro transit provider si eso mejora la latencia o el coste. Eso no reduce la calidad de la mitigación.
Una vez que el tráfico llega a la fabric de mitigación, el objetivo no es hacer rate limiting ciego. El objetivo es entender el tráfico legítimo, detectar el ataque, generar la lógica de filtrado correcta y devolver el tráfico limpio a plena velocidad.
El cliente anuncia sus prefijos y elige un modo permanente o activado bajo ataque.
El tráfico legítimo se observa continuamente para disponer de una baseline útil cuando empieza un ataque.
En cuanto se detecta el ataque, se generan filtros personalizados a partir de las firmas y del comportamiento real del servicio.
El tráfico filtrado se devuelve por cross-connect, GRE, IPIP, VXLAN o VM router según la arquitectura.
Muchas soluciones del mercado se apoyan sobre todo en perfiles de mitigación predefinidos. Eso puede encajar en usos muy estándar, sobre todo en gaming clásico, pero se vuelve limitante cuando el tráfico legítimo no coincide con la plantilla esperada.
En cambio, Peeryx no impone por defecto filtros aplicativos restrictivos. Se pueden añadir políticas predefinidas cuando son útiles — por ejemplo para FiveM, Minecraft, Rust, Garry’s Mod, Hytale, SSH, WireGuard u OpenVPN — pero el comportamiento base es adaptativo.
El sistema analiza de forma continua el tráfico legítimo fuera de ventanas de mitigación para entender los usos, los flujos normales y las características propias del servicio. Cuando detecta un ataque, correlaciona firmas y patrones con esa baseline y genera reglas a medida en menos de 20 ms para detener el ataque sin bloquear el tráfico útil.
El tráfico limpio puede entregarse con o sin anuncio BGP en el lado de handoff. La idea es adaptarse a la arquitectura del cliente en lugar de imponer un único modelo de interconexión.
Simple y rápido de desplegar para proteger una infraestructura existente sin migración pesada.
Más flexible para arquitecturas avanzadas o entornos que necesitan una encapsulación más rica.
La menor latencia posible y el máximo rendimiento para clientes presentes en el mismo entorno de datacenter.
Control total para clientes que quieren crear y gestionar sus propios túneles y su lógica de handoff.
Añadir una capa de protección a un dedicado OVH, Hetzner u otro sin mover toda la infraestructura.
Usar un servidor dedicado con XDP u otra lógica para terminar el filtrado tras el alivio upstream.
FiveM, Minecraft y otros servicios sensibles a la latencia necesitan una mitigación rápida, limpia y poco intrusiva.
Las aplicaciones no estándar y los flujos atípicos se benefician mucho de una mitigación diseñada alrededor del tráfico real.
Este enfoque no consiste solo en “aguantar Gbps”. Se trata de comprender el servicio protegido, preservar su lógica aplicativa y soportar también la realidad del PPS. Algunas soluciones pueden anunciar cifras altas de ancho de banda y ser menos cómodas cuando la presión real está sobre el packet rate.
Otro punto importante es lo que no ocurre durante la mitigación: no se aplica rate limit genérico sobre TCP, UDP, GRE u otros protocolos. La mitigación no debe ralentizar transferencias legítimas ni limitar artificialmente el rendimiento solo porque la protección esté activa.
Para floods realmente extremos, especialmente algunas amplificaciones volumétricas, BGP FlowSpec puede utilizarse de forma automática e inteligente, pero solo cuando existe una necesidad real, para un alivio ligero y durante poco tiempo. El objetivo no es ser demasiado estricto; el objetivo es recortar volumen sin sacrificar el tráfico legítimo.
Un buen diseño anti-DDoS debe proteger el enlace, la factura, la experiencia del usuario y la lógica de negocio del servicio. Si solo protege una de esas capas, sigue siendo incompleto.
Sí. El tráfico limpio puede devolverse mediante túneles o mediante un diseño BGP adaptado a la infraestructura que ya tienes.
No. No se aplica rate limiting genérico por protocolo durante la mitigación.
Precisamente el objetivo de la plataforma es evitarlo generando filtros a partir del tráfico real del servicio y de los patrones observados durante el ataque.
Sí. Y para casos extremos, BGP FlowSpec puede utilizarse de forma corta y selectiva para recortar volumen sin dañar el tráfico legítimo.
El tránsito IP protegido anti-DDoS es hoy un componente esencial para infraestructuras expuestas que quieren evitar saturación, blackhole innecesario y respuestas genéricas demasiado destructivas.
Permite absorber ataques masivos, proteger servicios sin migrar toda la infraestructura, conservar control real del enrutamiento y adaptar la mitigación a cada uso en lugar de imponer perfiles estáticos.
Las soluciones modernas no deberían limitarse a anunciar capacidad. Deben comprender el tráfico legítimo y adaptarse dinámicamente al comportamiento real del servicio protegido.
Peeryx ofrece tránsito IP protegido anti-DDoS, enrutamiento simétrico o asimétrico, mitigación adaptativa basada en tráfico legítimo, entrega mediante GRE, IPIP, VXLAN o cross-connect y una arquitectura pensada para proteger sin romper el servicio.
