Webinar incia en

0 Días
0 Horas
0 Minutos
0 Segundos

Webinar Gratuito

Introducción a Protocolo IPv6 con MikroTik RouterOS

Regístrate aqui

Cursos Certificación MikroTik

modalidad Autoestudio

¡ NUEVO ! ... MTCIPv6E (MikroTik Certified IPv6 Engineer)

MTCNA (Network Associate)

MTCTCE (Control de Tráfico y QoS)

MTCRE (Ruteo avanzado, OSPF, VRRP)

MTCINE (Internetworking, BGP, MPLS)

MTCSE (Seguridad Avanzada)

MTCSWE (Switching Avanzado)

Popular Keywords

Categories

No Record Found

View All Results
Facebook-f Twitter Linkedin Youtube Instagram Whatsapp
abcXperts by Academy Xperts - cursos y consultorías MikroTik y Ubiquiti

Tipos de Ataques de Denegación de Servicio Distribuido (DDoS): Guía Completa con Ejemplos y Protección en MikroTik

  • Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram

¿Qué es un ataque DDoS y por qué puede tumbar tu red?

Un ataque de Denegación de Servicio Distribuido (DDoS) es un intento malicioso de interrumpir el funcionamiento normal de un servidor, red o servicio, enviando una gran cantidad de tráfico desde múltiples fuentes simultáneamente.

A diferencia de un ataque DoS tradicional, el DDoS se apoya en múltiples dispositivos comprometidos (botnets), lo que lo hace más difícil de mitigar.

En la práctica, el problema no es únicamente el volumen de tráfico, sino el impacto que tiene en los recursos:

  • Saturación del ancho de banda
  • Consumo excesivo de CPU y memoria
  • Agotamiento de conexiones simultáneas

Esto provoca que los usuarios legítimos no puedan acceder al servicio, incluso si el sistema no llega a caerse completamente.

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

Cómo funcionan los ataques DDoS (explicado fácil)

El funcionamiento de un DDoS sigue un patrón relativamente simple:

  1. El atacante controla múltiples dispositivos (botnet)
  2. Envía tráfico masivo hacia un objetivo específico
  3. El sistema intenta procesar todas las solicitudes
  4. Los recursos se saturan y el servicio se degrada

Dependiendo del tipo de ataque, el objetivo cambia:

  • Saturar la red → ataques volumétricos
  • Explotar conexiones → ataques de protocolo
  • Consumir recursos del servidor → ataques de aplicación

Tipos de ataques DDoS: clasificación principal

Ataques volumétricos (Volumetric Attacks)

Estos ataques buscan saturar el ancho de banda con grandes volúmenes de tráfico.

Ejemplos comunes:

  • UDP Flood
  • ICMP Flood

El objetivo es simple: llenar la capacidad de la red para impedir el tráfico legítimo.

Ataques a nivel de protocolo

Se enfocan en debilidades en la gestión de conexiones dentro del protocolo TCP/IP.

Ejemplos:

  • SYN Flood
  • SYN-ACK Flood

No requieren tanto volumen como los volumétricos, pero son muy efectivos al agotar recursos del sistema.

Ataques a la capa de aplicación (Layer 7)

Simulan tráfico legítimo para atacar directamente aplicaciones.

Ejemplo:

  • HTTP Flood

Son más difíciles de detectar porque imitan el comportamiento de usuarios reales.

Principales tipos de ataques DDoS explicados con ejemplos reales

UDP Flood

El atacante envía paquetes UDP a múltiples puertos del servidor.

Consecuencias:

  • El sistema intenta procesar cada paquete
  • Genera respuestas innecesarias
  • Se saturan los recursos rápidamente

En redes reales, suele manifestarse como un aumento repentino de tráfico sin patrón claro.

SYN Flood (con mitigación en MikroTik)

Este ataque envía múltiples solicitudes SYN sin completar el proceso de conexión TCP.

Consecuencias:

  • Se acumulan conexiones incompletas
  • Se llena la tabla de conexiones
  • El servidor deja de aceptar tráfico legítimo

En MikroTik, se puede mitigar activando la protección mediante syncookies:

/ip/settings/set tcp-syncookies=yes

Este mecanismo valida las conexiones reales mediante un sistema criptográfico, descartando las falsas.

SYN-ACK Flood (ejemplo avanzado en RouterOS)

En este caso, el atacante envía paquetes SYN-ACK falsos a gran velocidad.

Esto rompe el flujo normal del protocolo TCP y obliga al sistema a procesar tráfico inválido.

En MikroTik se pueden aplicar reglas específicas para detectar este comportamiento:

/ip/firewall/filter add action=return chain=detect-ddos \
dst-limit=32,32,src-and-dst-addresses/10s \
protocol=tcp tcp-flags=syn,ack
Tipos de Ataques de Denegacion de Servicio Distribuido (DDoS): Guia Completa con Ejemplos y Proteccion en MikroTik

HTTP Flood

Este ataque se dirige a la capa de aplicación simulando tráfico legítimo.

Características:

  • Uso de solicitudes GET y POST
  • Acceso repetido a recursos pesados
  • Consumo intensivo de CPU

Es especialmente peligroso porque es difícil distinguirlo de usuarios reales.

DNS Amplification

Este ataque utiliza servidores DNS para amplificar el tráfico.

Funcionamiento:

  • El atacante envía solicitudes pequeñas
  • El servidor responde con paquetes mucho mayores
  • La víctima recibe tráfico masivo

Es uno de los ataques más eficientes en términos de amplificación.

Cómo detectar un ataque DDoS en MikroTik (ejemplo real)

Detectar un ataque DDoS implica identificar patrones anómalos en el tráfico.

Señales comunes:

  • Incremento repentino de conexiones nuevas
  • Tráfico repetitivo entre mismas IPs
  • Uso elevado de recursos
En MikroTik, una estrategia básica consiste en analizar conexiones nuevas:
/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=detect-ddos

Luego se aplican límites para detectar comportamiento anormal:

add action=return chain=detect-ddos \
dst-limit=32,32,src-and-dst-addresses/10s

El tráfico legítimo pasa sin problemas, mientras que el tráfico malicioso supera los límites establecidos.

Cómo mitigar ataques DDoS con MikroTik (configuración paso a paso)

1. Crear listas de atacantes y objetivos

/ip firewall address-list
add list=ddos-attackers
add list=ddos-targets

2. Detectar tráfico malicioso

/ip firewall filter
add action=add-dst-to-address-list \
address-list=ddos-targets address-list-timeout=10m chain=detect-ddos

add action=add-src-to-address-list \
address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos

Esto permite clasificar automáticamente las IPs involucradas en el ataque.

3. Bloquear tráfico malicioso (nivel RAW)

/ip firewall raw
add action=drop chain=prerouting \
dst-address-list=ddos-targets \
src-address-list=ddos-attackers

El filtrado en la tabla RAW reduce la carga del sistema al bloquear tráfico antes de que sea procesado.

 

4. Funcionamiento conjunto

En condiciones normales:

  • El tráfico pasa sin restricciones

Durante un ataque:

  • Se detecta exceso de conexiones
  • Se agregan IPs a listas dinámicas
  • Se bloquea automáticamente el tráfico malicioso

Este enfoque permite una mitigación eficiente sin afectar usuarios legítimos.

Cómo proteger tu red contra ataques DDoS

Además de configurar MikroTik, es recomendable aplicar medidas adicionales:

  • Utilizar servicios de protección externa (CDN o WAF)
  • Limitar conexiones por dirección IP
  • Monitorizar el tráfico de forma constante
  • Segmentar servicios críticos

La clave es combinar detección temprana con respuesta automatizada.

 

Conclusión

Los ataques DDoS representan una amenaza constante para cualquier sistema conectado a internet. Comprender sus tipos y funcionamiento permite implementar defensas más efectivas.

Mientras que muchos recursos se limitan a explicar la teoría, la implementación práctica —como la realizada con MikroTik— marca la diferencia entre un sistema vulnerable y uno resiliente.

La capacidad de detectar, clasificar y bloquear tráfico malicioso en tiempo real es fundamental para mantener la disponibilidad de los servicios.

Preguntas Frecuentes

Se clasifican en tres grandes grupos: volumétricos, de protocolo y de aplicación, aunque existen múltiples variantes dentro de cada categoría.

El SYN Flood y el HTTP Flood son dos de los ataques más frecuentes.

Algunas señales incluyen tráfico inusual, aumento de conexiones simultáneas y degradación del servicio.

Sí, especialmente ataques básicos e intermedios, mediante reglas de firewall, listas dinámicas y filtrado en la capa RAW.

Breve cuestionario de conocimientos

¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?

QUIZ - Guía Completa con Ejemplos y Protección en MikroTik

Libros recomendados para éste artículo

Etiquetas: Ataques DDoS, Firewall MikroTik, mitigacion ddos, Seguridad de Redes, Networking, isp redes, MikroTik, RouterOS, Ciberseguridad, ddos

Autoestudio MikroTik

Estudia las certificaciones MikroTik a tu propio ritmo

Autoestudio

Aprende a tu propio ritmo

advertisement (anuncio)

Artículos Relacionados

MikroLABs

Otros temas que te pueden interesar

advertisement (anuncio)

Anuncia tu marca aquí - Escríbenos por WhatsApp (+593 98 700 0604) - abcXperts / Academy Xperts
Escríbenos por WhatsApp (+593 98 700 0604)

¿Quieres sugerir un tema?

Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Tema para el proximo Blog

Próximos Cursos

Libros MikroTik (español)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

MONARC Latin America: Soluciones Tecnológicas - Guatemala.
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear

AcademyXperts BETA 1.1

Tu asistente virtual de AcademyXperts

Para una asesoría exacta, completa tu ficha.

Identificación Académica

Ingresa tus datos para continuar

Número no válido

Confírmanos tus datos

Nuestros horarios son de Lunes a Viernes de 9:00 AM a 6:00 PM.

Atención: Lunes a Viernes de 9:00 AM a 6:00 PM (Ecuador GMT-5).