Cómo saber si me están haciendo ataques ddos paso a paso

Cómo saber si me están haciendo ataques ddos paso a paso (guía clara)

por

Si notás caídas repentinas, picos de latencia o usuarios que no pueden entrar, esta guía te muestra cómo saber si me están haciendo ataques ddos paso a paso: señales concretas, pruebas rápidas, qué mirar en gráficos y logs, y cómo confirmar (o descartar) un DDoS sin perder tiempo.

Cómo saber si me están haciendo ataques ddos paso a paso: decisión express

Escenario Qué mirar primero Acción rápida
Web/tienda online Gráfico de tráfico/CPU, errores 502–504, RPS anormal Activa WAF/CDN y limita IPs
Juego/servidor TCP/UDP Conexiones medio-abiertas, ping/jitter alto Filtrá por puerto; rate limit; logs de firewall
Internet hogareño/pequeña oficina Router saturado, pérdida de paquetes Reiniciá ONT/router, activá protección DoS del equipo

Señales fuertes de DDoS (lo que sí cuenta)

  • Latencia y pérdida suben de golpe en múltiples ISPs/regiones.
  • Errores 502/503/504 y cola de peticiones disparada sin cambios de campaña.
  • Conexiones medio-abiertas (SYN_RECV) o muchos handshakes fallidos por segundo.
  • Gráficos en “pared”: ancho de banda o RPS que salta de forma antinatural.

Pruebas rápidas para confirmar (5–10 minutos)

  1. Ping y MTR/Tracert: si pérdida > 2–5% o jitter alto, anotá hora/ASNs.
  2. Desde el servidor (Linux):
    ss -s (conexiones), ss state syn-recv | wc -l, sar -n DEV 1 10 (picos de RX/TX), vmstat 1 10 (CPU/run queue).
  3. HTTP/S: compará Requests per Second, queue time, códigos 4xx/5xx. Si tenés CDN/WAF, mirá panel de amenazas.
  4. Firewall: contadores por regla/puerto. Si un puerto inusual explota, es indicio fuerte.
  5. Correlación: ¿el pico coincide en varias métricas (red + CPU + errores)? Esto diferencia DDoS de un simple pico legítimo.

Qué mirar en logs y métricas (checklist)

  • Origen: distribución por país/ASN; miles de IPs “nuevas” en minutos es sospechoso.
  • Vector: HTTP floods (GET/POST), SYN/ACK floods, UDP floods (puertos 19/80/443/xxxx).
  • Firmas repetidas: mismos user-agents, rutas o payloads.
  • Recursos pesados: endpoints caros (búsquedas, login, PDF) bajo ataque selectivo.

Si usás paneles (Grafana/Datadog) centralizá en uno solo.

Acciones de mitigación inicial (sin romper todo)

  1. CDN/WAF: activá modo “Under Attack”, desafía por challenge y endurecé reglas en endpoints caros.
  2. Rate limiting: por IP/ASN/país en rutas sensibles; ventanas cortas (10–60 s).
  3. Filtrado por puerto: cerrá/limita servicios que no deban estar públicos.
  4. Caching agresivo: páginas anónimas; mueve autenticación a rutas separadas.
  5. Escalado temporal: si estás en nube, subí instancia o réplicas mientras mitigás.

Referencias útiles: Cloudflare Learning Center: DDoS y OWASP: Denial of Service.

Monitor en vivo (qué tocar si aprieta)

  • Frames/requests caídos: bajá límites por IP, subí nivel de challenge.
  • CPU 90–100%: agrega caché/colas; quitá trabajo caro de la ruta atacada.
  • Network saturada: pedí al ISP/CDN scrubbing o “blackhole” controlado para el destino atacado.

Errores comunes al diagnosticar DDoS

  • Confundir campaña real con ataque: mirá calidad de tráfico (conversión/duración) además del volumen.
  • Bloquear todo: aplicá rate limit por capas; evitá tirar abajo a usuarios legítimos.
  • Sin registros: activá logs y retención suficiente para aprender del incidente.

Lee también nuestra guía sobre cómo grabar pantalla en Windows 11: métodos y atajos.

Legales y comunicación

Registrá hora/impacto/medidas tomadas. Si hay afectación a clientes, comunicá estado por un canal externo (status page/redes). Evitá exponer IPs internas, claves o rutas de administración.

Publicación y post-mortem

  • Guardá paneles y timelines del incidente.
  • Hacé un post-mortem breve con causas, métricas y acciones preventivas.
  • Automatizá alertas anómalas (RPS, SYN, UDP, 5xx) con umbrales y notificaciones.

Cierre: con este proceso ya sabés cómo saber si me están haciendo ataques ddos paso a paso, diferenciando picos legítimos de un ataque real, confirmando con métricas y logs, y aplicando mitigación sin tumbar a tus usuarios.

Preguntas frecuentes

¿Cómo distingo un pico legítimo de un DDoS?

En un pico real suben sesiones y conversiones; en DDoS suben errores, latencia y hay muchos orígenes “nuevos” con baja interacción.

¿Puedo confirmar un SYN flood rápidamente?

Sí: ss state syn-recv | wc -l y contadores del firewall. Miles de medio-abiertas sostenidas son indicio fuerte.

¿Sirve una CDN barata para mitigar?

Ayuda si soporta WAF y rate limit por ruta. Para ataques volumétricos grandes, necesitás red de scrubbing del proveedor/ISP.

¿Qué guardo para el post-mortem?

Gráficos de tráfico, 5xx, CPU, eventos WAF, top IPs/ASNs, timeline de acciones y resultados.