Esta es la segunda entrega sobre amenazas DDoS, en esta ocasión nos adentramos en las capas de red y transporte para analizar los vectores más comunes, cómo operan y por qué son tan efectivos. En este artículo analizaremos en profundidad cómo funcionan los ataques DDoS en estas capas, cómo identificarlos mediante herramientas y técnicas de monitorización, y qué estrategias permiten mitigar su impacto; ya que estas son esenciales para el funcionamiento de cualquier comunicación en Internet que, y por su papel crítico, son especialmente vulnerables a provocar interrupciones de gran alcance y consecuencias severas.
En un mundo cada vez más interconectado, la disponibilidad de los servicios digitales se ha convertido en un pilar fundamental para empresas, instituciones y usuarios, pero esta dependencia también implica una mayor exposición a amenazas que buscan interrumpirla. Entre ellas, los ataques DDoS destacan por su capacidad de paralizar infraestructuras enteras en cuestión de minutos; y aunque los dirigidos a la capa de aplicación (capa 7) suelen acaparar titulares por su sofisticación, los que se centran en las capas inferiores del modelo OSI, capa 3 (Red) y capa 4 (Transporte), pueden ser igual o incluso más peligrosos, ya que no requieren explotar vulnerabilidades específicas en aplicaciones, sino simplemente saturar los recursos básicos de red para provocar una caída total del servicio.
Estos ataques pueden ser masivos, difíciles de rastrear y altamente disruptivos; desde inundaciones de paquetes ICMP hasta oleadas de conexiones TCP incompletas, los atacantes explotan la arquitectura básica de Internet para provocar colapsos que muchas organizaciones no saben detectar ni frenar a tiempo.
La capa 3 (Red) del modelo OSI, responsable del enrutamiento y entrega de paquetes IP a través de múltiples redes, presenta una superficie de ataque significativa debido a la simplicidad de sus protocolos y a la ausencia de mecanismos nativos de autenticación o verificación de origen. Esta combinación la hace especialmente susceptible a ataques volumétricos y de saturación.
Entre las amenazas más comunes se encuentran técnicas como el ICMP Flood, el Smurf attack y la fragmentación IP maliciosa, diseñadas para agotar el ancho de banda o los recursos de procesamiento de routers y firewalls. Sin embargo, también existen vectores más avanzados que explotan servicios de red mal configurados (por ejemplo, sistemas de enrutamiento dinámico inseguros) o dispositivos comprometidos para amplificar el tráfico mediante redes de bots y generar patrones de ataque distribuidos difíciles de filtrar.
Este tipo de ataques puede desbordar rápidamente las capacidades de infraestructura incluso en entornos con alto nivel de redundancia, por lo que su detección y mitigación requieren monitorización continua, filtrado inteligente de tráfico y estrategias de respuesta en tiempo real a nivel de red.
A continuación, profundizamos en los principales ataques de capa 3:
ICMP Flood
Es una técnica que consiste en el envío masivo de paquetes ICMP Echo Request (ping) hacia un sistema objetivo. Aunque cada paquete individual tiene un tamaño reducido, el volumen total de tráfico generado puede saturar el ancho de banda disponible, consumir de forma excesiva los recursos de CPU, y desbordar las tablas de procesamiento de dispositivos intermedios como routers, firewalls y balanceadores de carga. Al tratarse de un protocolo sin estado, cada solicitud debe ser procesada individualmente, lo que obliga al sistema a dedicar una parte significativa de sus recursos a responder, afectando gravemente el rendimiento general. Este tipo de ataque puede ser difícil de filtrar si no se cuenta con mecanismos de inspección profunda o políticas de control de tráfico ICMP. Para mitigarlo, es necesario limitar la tasa de respuesta ICMP, aplicar reglas de filtrado en dispositivos perimetrales, y utilizar sistemas de detección de anomalías.
Smurf Attack
Smurf Attack utiliza la amplificación de tráfico ICMP mediante el uso de direcciones de broadcast. El atacante envía paquetes ICMP Echo Request (ping) a la dirección de broadcast de una red intermedia, falsificando la dirección IP de origen para que coincida con la de la víctima. Como resultado, todos los dispositivos conectados a esa red responden simultáneamente con paquetes ICMP Echo Reply dirigidos a la víctima, generando una avalancha de tráfico que puede saturar su ancho de banda, sobrecargar la CPU y desestabilizar los dispositivos de red. Este ataque se basa en la multiplicación del tráfico a través de redes mal configuradas que permiten respuestas a solicitudes de broadcast, lo que lo convierte en una forma eficaz de amplificación. Para mitigarlo hay que deshabilitar la respuesta ICMP a direcciones de broadcast en routers y switches, aplicar filtros de tráfico ICMP en firewalls, y utilizar sistemas de detección de anomalías.
IP Fragmentation Attack
Consiste en el envío de paquetes IP fragmentados de forma maliciosa, ya sea con estructuras incorrectas, fragmentos manipulados o secuencias incompletas, impidiendo que el sistema de destino pueda reensamblarlos correctamente. Este comportamiento obliga al host o dispositivo de red a almacenar temporalmente los fragmentos en memoria, esperando la llegada de las partes que faltan, lo que incrementa el uso de buffers, la carga de procesamiento y el consumo de recursos críticos como memoria RAM y CPU. Si el flujo de fragmentos inválidos es constante, puede provocar el agotamiento de los recursos del sistema, generar latencia excesiva, desbordamiento de tablas internas y, en casos extremos, causar fallos operativos o reinicios inesperados. Este tipo de ataque se aprovecha de la lógica de reensamblado del protocolo IP, que por diseño debe mantener fragmentos durante un tiempo determinado, lo que lo convierte en un vector eficaz para saturar dispositivos mal protegidos. Para ayudar a mitigarlo se debe aplicar políticas de inspección profunda de paquetes, establecer límites en la gestión de fragmentos, y utilizar firewalls o IDS/IPS capaces de detectar patrones anómalos en el tráfico fragmentado.
CLDAP Amplification
El CLDAP Amplification Attack es una técnica de denegación de servicio distribuido (DDoS) que explota la versión sin conexión del protocolo LDAP, conocida como CLDAP (Connectionless LDAP), utilizada principalmente en entornos Windows para realizar consultas rápidas. En este ataque, el atacante envía solicitudes CLDAP manipuladas con la dirección IP de la víctima falsificada como origen hacia servidores CLDAP mal configurados o vulnerables. Estos servidores responden con paquetes significativamente más grandes que la solicitud original, generando una amplificación de tráfico que puede alcanzar hasta 70 veces el tamaño del paquete inicial. Esta respuesta masiva se dirige directamente a la víctima, saturando su ancho de banda, sobrecargando sus recursos de red y provocando una degradación severa del rendimiento o incluso la interrupción total del servicio. Para mitigar este tipo de ataque se tiene que deshabilitar CLDAP en servidores que no lo requieran, aplicar filtros de tráfico en el perímetro de red, y utilizar sistemas de detección de anomalías que identifiquen patrones de amplificación.
ESP Flood
Se basa en el envío masivo de tráfico cifrado utilizando el protocolo ESP (Encapsulating Security Payload), componente esencial de la suite de seguridad IPsec. Al tratarse de contenido cifrado, los dispositivos de seguridad tradicionales, como firewalls, sistemas de prevención de intrusiones (IPS) o herramientas de inspección profunda de paquetes (DPI), no pueden analizar ni validar el contenido del tráfico, lo que los obliga a procesarlo sin visibilidad ni control contextual. Esta limitación expone a la infraestructura a una sobrecarga de procesamiento, ya que los dispositivos deben gestionar grandes volúmenes de datos sin poder aplicar políticas de filtrado efectivas. En entornos donde IPsec está habilitado para comunicaciones seguras, este tipo de ataque puede degradar el rendimiento de los sistemas de seguridad, ralentizar el tráfico legítimo y facilitar la evasión de otras amenazas encubiertas. Para mitigarlo se debe realizar una segmentación del tráfico cifrado, aplicar límites de tasa en interfaces IPsec, y utilizar soluciones de seguridad capaces de gestionar flujos cifrados de forma eficiente.
DNS Flood (Infraestructura)
El DNS Flood, aunque se origina en la capa 7 mediante el protocolo DNS, genera un impacto significativo en las capas inferiores, capa 3 (IP) y capa 4 (UDP), al utilizar técnicas como la inundación masiva de solicitudes falsas o la amplificación de tráfico. El atacante envía grandes volúmenes de consultas DNS manipuladas, ya sea directamente hacia servidores DNS para saturar su capacidad de procesamiento y respuesta, o indirectamente mediante servidores vulnerables que amplifican las respuestas hacia la víctima. Estas respuestas pueden ser considerablemente mayores que las solicitudes originales, lo que permite una amplificación efectiva del tráfico. El ataque puede desbordar el ancho de banda, agotar los recursos de red y provocar una degradación severa del servicio de resolución de nombres, afectando la disponibilidad de aplicaciones y servicios dependientes de DNS. Para mitigar este tipo de amenaza se puede implementar rate limiting, aplicar validación de origen, utilizar servidores DNS con protección contra amplificación, y desplegar sistemas de detección de anomalías.
Mirai y variantes
Mirai y variantes representan una familia de malware diseñada para comprometer dispositivos IoT mal configurados o con credenciales débiles, como cámaras IP, routers domésticos, grabadores DVR y otros equipos conectados a Internet, con el fin de convertirlos en bots que forman parte de una botnet distribuida. Una vez infectados, estos dispositivos comienzan a generar tráfico malicioso de tipo ICMP, UDP o TCP, dirigido a objetivos específicos, operando principalmente en las capas 3 y 4 del modelo OSI. Este tráfico puede incluir ataques de tipo flood, amplificación o explotación de vulnerabilidades, y se caracteriza por su volumen masivo y su origen distribuido, lo que dificulta su detección y mitigación. Las variantes de Mirai han evolucionado para incorporar nuevas técnicas de evasión, capacidades de persistencia y compatibilidad con diferentes arquitecturas de hardware. Para mitigar su impacto, se recomienda asegurar los dispositivos IoT mediante actualizaciones de firmware, cambio de credenciales por defecto, segmentación de red y monitoreo activo del tráfico.
Todos estos vectores de ataque que acabamos de ver demuestran que la capa 3 no solo es vulnerable por diseño, sino que también puede ser explotada mediante técnicas de amplificación, evasión y distribución masiva.
La capa 4 del modelo OSI, conocida como la capa de transporte, es responsable de establecer y mantener las conexiones entre dispositivos finales. Aquí se gestionan aspectos críticos como el control de flujo, la segmentación de datos y la fiabilidad de la entrega. Los protocolos más utilizados, TCP y UDP, son esenciales para casi todas las aplicaciones modernas, desde navegación web hasta servicios en tiempo real.
Precisamente por su rol central, esta capa es un blanco frecuente de ataques DDoS que buscan interrumpir la capacidad de los servidores para gestionar conexiones legítimas, saturando sus recursos con tráfico malicioso o incompleto.
A continuación, profundizamos en los principales ataques de capa 4:
SYN Flood
SYN Flood explota el proceso de establecimiento de conexión TCP, conocido como three-way handshake. El atacante envía múltiples paquetes SYN, generalmente con direcciones IP falsas, sin completar la conexión con el correspondiente ACK. Esto obliga al servidor a reservar recursos para cada solicitud en su tabla de conexiones semiabiertas, esperando un ACK que nunca llega, lo que provoca el agotamiento de dicha tabla y bloquea nuevas conexiones legítimas. Este tipo de ataque puede degradar gravemente el rendimiento del sistema, generar latencia elevada o incluso provocar la caída del servicio. Para mitigarlo es necesario implementar mecanismos como SYN cookies, limitar el tamaño de la cola de conexiones pendientes, utilizar firewalls con inspección de estado, y desplegar sistemas de detección y prevención de intrusiones (IDS/IPS), además de mantener una monitorización constante del tráfico de red para identificar patrones anómalos.
ACK Flood
El ataque ACK Flood es una variante de denegación de servicio (DoS) que consiste en el envío masivo de paquetes TCP con el flag ACK activado, sin que exista una sesión TCP válida ni un contexto de conexión establecido. Aunque estos paquetes no forman parte de flujos legítimos, los dispositivos de red y servidores deben procesarlos, lo que implica consumo de recursos como CPU, memoria y tablas de estado de conexión. Este procesamiento innecesario puede saturar los mecanismos de inspección de tráfico, provocar sobrecarga en firewalls, balanceadores de carga o sistemas de detección, y degradar el rendimiento general del sistema. En entornos con alta sensibilidad al rendimiento, este tipo de ataque puede generar latencia, pérdida de paquetes y fallos en la gestión de conexiones legítimas. Para mitigarlo se deben implementar políticas de filtrado profundo, inspección de paquetes a nivel de sesión, y sistemas de protección contra anomalías de tráfico.
UDP Flood
Consiste en el envío masivo de paquetes UDP a puertos aleatorios de un servidor o dispositivo de red. Dado que el protocolo UDP es sin estado y no requiere el establecimiento de una conexión previa, cada paquete recibido debe ser procesado individualmente. Si el puerto de destino está cerrado, el sistema objetivo responde con un mensaje ICMP tipo 3 código 3 (“puerto inaccesible”), lo que genera tráfico adicional y contribuye a la saturación. Esta avalancha de solicitudes puede consumir excesivamente el ancho de banda, la capacidad de procesamiento y los recursos de red, afectando el rendimiento de servicios legítimos. Además, al no existir una sesión persistente, resulta más difícil aplicar filtros convencionales, lo que lo convierte en un ataque eficaz contra infraestructuras mal protegidas. Para mitigarlo, hay que implementar sistemas de detección de anomalías, limitar el tráfico UDP entrante, bloquear respuestas ICMP innecesarias y utilizar firewalls con reglas específicas para tráfico sin estado.
TCP Connection Flood
El ataque TCP Connection Flood a diferencia del SYN Flood, establece conexiones TCP completas mediante el proceso completo de three-way handshake. El atacante genera miles de sesiones simultáneas que permanecen abiertas sin ser utilizadas, lo que obliga al servidor a mantener recursos asignados para cada conexión activa, incluyendo memoria, entradas en la tabla de estado y ciclos de CPU. Esta acumulación de sesiones inactivas puede saturar la capacidad del sistema para gestionar nuevas conexiones, provocando una degradación del rendimiento, latencia elevada y bloqueo de servicios legítimos. Además, al tratarse de conexiones válidas desde el punto de vista del protocolo, resulta más difícil detectarlas y filtrarlas mediante mecanismos convencionales. Para mitigar este tipo de ataque es importante establecer límites en el número de conexiones por IP, reducir el tiempo de espera de inactividad, implementar balanceadores de carga con control de sesiones, y utilizar sistemas de detección de comportamiento anómalo.
TCP Reset Attack
El ataque TCP Reset es una técnica de interrupción de sesiones que consiste en el envío de paquetes TCP con el flag RST (Reset) activado hacia conexiones activas entre cliente y servidor. Si estos paquetes contienen los parámetros adecuados, como una dirección IP válida, puerto correcto y número de secuencia dentro del rango esperado, el receptor interpreta la señal como una orden legítima de cierre inmediato de la conexión, lo que provoca su terminación abrupta. Este tipo de ataque no requiere saturar el sistema con grandes volúmenes de tráfico, sino que se basa en la precisión de los paquetes para desestabilizar comunicaciones específicas. Es especialmente crítico en redes donde se transmiten datos sensibles o en tiempo real, como servicios financieros, aplicaciones de voz o sistemas industriales. Para mitigarlo es crucial el uso de cifrado de sesiones (como TLS), validación estricta de secuencias TCP, y herramientas de inspección profunda de paquetes (DPI).
Los ataques de capa 4 son especialmente peligrosos porque simulan comportamientos legítimos, lo que dificulta su detección sin herramientas de inspección profunda, la clave está en combinar análisis de estado, filtrado inteligente y protección perimetral avanzada para mantener la infraestructura resiliente.
La detección de ataques DDoS en las capas 3 y 4 del modelo OSI exige una estrategia integral que combine visibilidad total del tráfico, análisis profundo de patrones y correlación inteligente de eventos. A diferencia de los ataques en capa 7, que afectan directamente a la aplicación, los ataques en capas inferiores suelen disfrazarse como tráfico legítimo, lo que complica su identificación. Para lograr una detección efectiva, es esencial implementar monitorización en tiempo real mediante herramientas como Wireshark, tcpdump o TShark, junto con sistemas de telemetría y flujos de red (NetFlow, sFlow, IPFIX) que permiten identificar anomalías como picos repentinos de paquetes ICMP, SYN o UDP, tráfico distribuido desde múltiples IPs, o el uso de puertos aleatorios. Estos datos, cruzados con tablas de estado de firewalls y contadores de sesión, permiten detectar patrones como los de un SYN Flood, donde los paquetes SYN superan ampliamente los ACKs en cortos intervalos.
Además de la monitorización, el análisis de logs y métricas del sistema es crucial. Los registros de firewalls, sistemas operativos y dispositivos de red pueden revelar intentos de ataque mediante indicadores como paquetes malformados, inconsistencias en flags TCP, errores de fragmentación IP o saturación de buffers. Las métricas de rendimiento, como el uso de CPU, memoria, número de conexiones concurrentes y estados de sesión TCP (SYN_RECV, TIME_WAIT, etc.) ofrecen señales claras de estrés en la infraestructura. Herramientas como SNORT, Suricata y firewalls de nueva generación (NGFW) permiten inspección profunda de paquetes y detección basada en firmas, mientras que los centros de scrubbing como los de Arbor o Akamai filtran tráfico malicioso antes de que alcance la red interna.
Actualmente muchos de los sistemas modernos incorporan detección basada en comportamiento, utilizando modelado estadístico y machine learning para identificar desviaciones respecto al tráfico habitual. Esta técnica permite detectar ataques como Mirai, donde dispositivos IoT generan tráfico anómalo sin causa aparente. La clave está en establecer umbrales dinámicos, correlacionar múltiples fuentes (tráfico, rendimiento, logs) y visualizar métricas en tiempo real con herramientas como Grafana y Prometheus. Complementos como Zabbix o Nagios ayudan a generar alertas proactivas, mientras que la detección geográfica y contextual se vuelve esencial ante ataques distribuidos. En conjunto, la detección temprana depende de una arquitectura de seguridad que integre visibilidad, análisis y respuesta automatizada, adaptándose a la evolución constante de las amenazas en capas de red y transporte.
Para mitigar ataques DDoS en las capas 3 y 4 es necesario combinar de manera eficiente filtrado inteligente, protección basada en estado, servicios de limpieza en la nube y una arquitectura resiliente. Las técnicas de control de tráfico como rate limiting, listas de control de acceso (ACLs), geo-blocking y blackholing/sinkholing permiten reducir la superficie de ataque bloqueando paquetes maliciosos antes de que saturen los recursos. Estas medidas son especialmente efectivas contra ataques como ICMP Flood o UDP Flood, donde el volumen de paquetes puede desbordar la capacidad de procesamiento. A nivel de protocolo, mecanismos como SYN cookies, firewalls con inspección de estado y timeouts agresivos ayudan a mitigar ataques como SYN Flood y TCP Connection Flood, evitando que conexiones incompletas consuman recursos innecesarios.
La defensa moderna también se apoya en servicios de scrubbing y mitigación en la nube, como los ofrecidos por Imperva, Radware, Cloudflare o Akamai, que redirigen el tráfico a centros especializados capaces de filtrar paquetes maliciosos en tiempo real. El uso de Anycast routing permite distribuir el tráfico entre múltiples nodos, evitando puntos únicos de fallo y absorbiendo ataques volumétricos sin afectar al servidor de origen. Complementariamente, una arquitectura resiliente con balanceadores de carga, redundancia geográfica y segmentación de red garantiza que los servicios críticos permanezcan operativos incluso bajo ataque. Esta segmentación es clave ante amenazas como IP Fragmentation Flood, donde aislar segmentos permite contener el impacto. Además, la monitorización continua mediante sistemas SIEM, dashboards con métricas clave y automatización con plataformas SOAR permite detectar patrones como SYN Flood y activar respuestas defensivas sin intervención humana.
Por último, las pruebas de estrés y simulaciones periódicas son esenciales para validar la eficacia de las defensas. Herramientas como LOIC, Hping3 o scripts personalizados permiten simular ataques sin comprometer entornos productivos, mientras que el análisis post-ataque de logs y métricas ayuda a identificar debilidades y ajustar la estrategia. En el ecosistema de herramientas disponibles para enfrentar ataques DDoS en capas 3 y 4, existen soluciones ampliamente utilizadas como Imperva DDoS Protection, Radware DefensePro, Cloudflare Magic Transit, Zabbix, Grafana, Suricata, SNORT, entre otras muchas. Cada una de ellas cumple funciones específicas en procesos de detección, filtrado y respuesta ante amenazas, dependiendo del entorno y los requisitos técnicos de cada infraestructura. Las buenas prácticas clave incluyen mantener la mitigación siempre activa, separar tráfico legítimo del malicioso mediante reputación IP y análisis de comportamiento, escalar defensas sin sacrificar rendimiento, y actualizar constantemente reglas y firmas para adaptarse a la evolución de las amenazas. Esta combinación de tecnología, arquitectura y vigilancia proactiva es la base de una defensa robusta contra ataques DDoS en capas inferiores.
Como se ha visto la defensa contra ataques DDoS no es una solución única, sino un ecosistema de tecnologías, procesos y buenas prácticas que deben evolucionar al ritmo de las amenazas. La combinación de detección temprana, mitigación automatizada y resiliencia estructural es lo que permite garantizar la disponibilidad, estabilidad y seguridad de los servicios en entornos cada vez más hostiles.
Se ha abordado de manera integral los principales tipos de ataques en estas capas, sus indicadores característicos, las herramientas más eficaces para su detección, y las estrategias de mitigación recomendadas, demostrando que una defensa efectiva requiere no solo visibilidad profunda del tráfico y análisis contextual, sino también una arquitectura resiliente, automatización de respuestas y colaboración con servicios especializados de mitigación en la nube.
En definitiva, la protección contra ataques DDoS en capas inferiores no puede depender de soluciones aisladas. Es necesario implementar una estrategia que integre tecnología, planificación operativa y medidas de seguridad efectivas, con el objetivo de asegurar la continuidad de los servicios en un entorno digital cada vez más vulnerable y demandante.
Iván Domínguez, Analista Senior en Zerolynx by Cybertix.