DDoS Ataques 8 min lectura

Ataques Simétricos vs Volumétricos: Cuál es Más Peligroso

No todos los ataques DDoS son iguales. Uno puede tumbarte sin que puedas hacer nada; otro puede ser filtrado fácilmente si sabés cómo. Te explicamos la diferencia.

IP
IPSecureNetwork
Abril 2026

La diferencia fundamental

Antes de entrar en specifics, necesitás entender la diferencia conceptual:

Ataques volumétricos: Mandan cantidad bruta de tráfico. El objetivo es saturar tu ancho de banda. Si tenés un pipe de 1 Gbps y te mandan 2 Gbps, tu pipe se llena y no pasa nada más.

Ataques simétricos/de estado: No necesitan mucho tráfico. En cambio, explotan debilidades en cómo las conexiones funcionan. Llenan las tablas de conexiones de tu servidor o firewall con conexiones a medio abrir.

El ataque más peligroso no siempre es el más grande. Un ataque de 5 Gbps de SYN flood puede ser más efectivo que uno de 50 Gbps de HTTP flood — dependiendo de tu infraestructura.

Ataques Volumétricos: la fuerza bruta

UDP Flood

El clásico. Envían paquetes UDP a miles de IPs al azar en internet, con la dirección de origen falsificada hacia tu IP. Los servidores intermediarios (Open resolvers de DNS, NTP servers, etc.) responden a tu IP creyendo que vos pediste esa información.

Un atacante con acceso a una botnet puede enviar relativamente pocos paquetes, pero cada paquete genera respuestas 10x, 50x o 100x más grandes. Esto se llama amplificación.

NTP Amplification

Los servidores NTP (Network Time Protocol) mal configurados responden con mucho más datos de los que reciben. Un request de 32 bytes puede generar una respuesta de 3,200 bytes. Eso es una amplificación de 100x.

Los atacantes escanean internet buscando servidores NTP públicos, los usan para enviar tráfico falsificado a la víctima. Un botnet de 10,000 bots solicitando NTP a servidores de amplificación puede generar 100+ Gbps de tráfico.

ICMP (Ping) Flood

Básico pero efectivo. Envían una cantidad masiva de ICMP echo requests (pings). Si tu ancho de banda se satura con pings, no queda lugar para tráfico legítimo.

DNS Amplification

Similar al NTP amplification pero usando servidores DNS abiertos. Un query DNS de 50 bytes puede generar respuestas de 4,000+ bytes. Además, DNS es crítico para que cualquier sitio funcione, así que es un vector particularmente efectivo.

Ataques Simétricos: la inteligencia

SYN Flood

Exploita el three-way handshake de TCP. Cuando tu navegador se conecta a un servidor, hace esto:

  • Cliente → SYN → Servidor
  • Servidor → SYN-ACK → Cliente
  • Cliente → ACK → Servidor

En un SYN flood, el atacante envía millones de SYN pero nunca completa el handshake con ACK. El servidor queda con millones de conexiones半開 (half-open) encoladas, esperando responses que nunca llegan. La memoria del servidor se agota.

TCP State Exhaustion

Cada conexión TCP consume recursos del servidor (memoria para tracking del estado). Un atacante puede abrir miles de conexiones simultáneas y mantenerlas vivas con headers HTTP extremadamente lentos. Cuando se agotan las conexiones disponibles, los usuarios legítimos no pueden conectarse.

Slowloris

La versión HTTP del TCP state exhaustion. Envía headers HTTP muy lentamente, uno cada 15-30 segundos. El servidor mantiene la conexión abierta esperando que terminen los headers. Con pocas cientos de conexiones Slowloris, podés tumbar un servidor web sin generar tráfico excesivo — incluso con un bandwidth de solo 256 Kbps.

Slowloris puede tumbar un Apache con 256 Kbps mientras tu traffic spikes de DDoS normal no haría nada. Es el ataque favorito de quienes quieren permanecer invisibles.

HTTP Flood

El más moderno y sofisticado. Simula requests HTTP legítimos — parece tráfico real. Miles de bots pidiendo páginas, fazendo login, consultando APIs. Tu servidor no puede distinguir bots de humanos sin análisis comportamental.

La pregunta: cuál es más peligroso?

Depende de tu infraestructura y qué tipo de protección tengas.

Para la mayoría de las empresas con hosting básico: los ataques volumétricos son más peligrosos porque saturan tu pipe de internet antes de que puedas hacer nada. No importa cuánto software instales — si el tráfico no te llega, no hay defensa.

Para empresas con buena protección perimetral: los ataques simétricos/de aplicación (HTTP Flood, Slowloris) son más peligrosos porque evaden las defensas de red y van directo al servidor de aplicación.

Tabla comparativa

Tipo BW necesario Dificultad defensa Efectividad
UDP Flood Muy alto (100+ Gbps) Media (scrubbing upstream) Alta contra hosts sin protección
NTP Amplification Medio (10-50 Gbps) Media Muy alta (100x amplificación)
SYN Flood Bajo (1-10 Gbps) Alta (necesita syn cookies) Muy alta
Slowloris Muy bajo (<1 Gbps) Alta (requiere config específica) Alta contra Apache/nginx sin tuning
HTTP Flood (Bots) Medio (5-50 Gbps) Muy alta (requiere JS challenge) Muy alta — parece tráfico real

Cómo defenderse de cada uno

Contra ataques volumétricos:

  • CDN con capacidad de scrubbing (tienen bandwidth infinito en su edge)
  • BGP blackholing para descartar tráfico en upstream
  • Geo-blocking de regiones con mucho tráfico sospechoso
  • Rate limiting en border routers

Contra ataques simétricos:

  • SYN cookies para SYN flood
  • Timeouts agresivos para conexiones半開
  • Configurar web server (nginx: client_header_timeout, keepalive_timeout)
  • WAF con challenge de JavaScript para HTTP flood

⚠️ El ataque moderno que tenés que temer

Los atacantes más sofisticados combinan múltiples vectores: SYN flood para ocupar recursos + HTTP flood para tumbar la aplicación + DNS amplification para generar tráfico de fondo. Ataques híbridos como este son la norma en 2026.

IPSECURENETWORK detecta y mitiga automáticamente ataques híbridos con nuestra infraestructura de 2+ Tbps. Consultá cómo protegerte →