Cómo saber si me están haciendo ataques ddos paso a paso (guía clara)

Si notás caídas repentinas, picos de latencia o usuarios que no pueden entrar, esta guía te muestra cómo saber si me están haciendo ataques ddos paso a paso: señales concretas, pruebas rápidas, qué mirar en gráficos y logs, y cómo confirmar (o descartar) un DDoS sin perder tiempo.

Cómo saber si me están haciendo ataques ddos paso a paso: decisión express

Escenario	Qué mirar primero	Acción rápida
Web/tienda online	Gráfico de tráfico/CPU, errores 502–504, RPS anormal	Activa WAF/CDN y limita IPs
Juego/servidor TCP/UDP	Conexiones medio-abiertas, ping/jitter alto	Filtrá por puerto; rate limit; logs de firewall
Internet hogareño/pequeña oficina	Router saturado, pérdida de paquetes	Reiniciá ONT/router, activá protección DoS del equipo

Señales fuertes de DDoS (lo que sí cuenta)

Latencia y pérdida suben de golpe en múltiples ISPs/regiones.
Errores 502/503/504 y cola de peticiones disparada sin cambios de campaña.
Conexiones medio-abiertas (SYN_RECV) o muchos handshakes fallidos por segundo.
Gráficos en “pared”: ancho de banda o RPS que salta de forma antinatural.

Pruebas rápidas para confirmar (5–10 minutos)

Ping y MTR/Tracert: si pérdida > 2–5% o jitter alto, anotá hora/ASNs.
Desde el servidor (Linux):
ss -s (conexiones), ss state syn-recv | wc -l, sar -n DEV 1 10 (picos de RX/TX), vmstat 1 10 (CPU/run queue).
HTTP/S: compará Requests per Second, queue time, códigos 4xx/5xx. Si tenés CDN/WAF, mirá panel de amenazas.
Firewall: contadores por regla/puerto. Si un puerto inusual explota, es indicio fuerte.
Correlación: ¿el pico coincide en varias métricas (red + CPU + errores)? Esto diferencia DDoS de un simple pico legítimo.

Qué mirar en logs y métricas (checklist)

Origen: distribución por país/ASN; miles de IPs “nuevas” en minutos es sospechoso.
Vector: HTTP floods (GET/POST), SYN/ACK floods, UDP floods (puertos 19/80/443/xxxx).
Firmas repetidas: mismos user-agents, rutas o payloads.
Recursos pesados: endpoints caros (búsquedas, login, PDF) bajo ataque selectivo.

Si usás paneles (Grafana/Datadog) centralizá en uno solo.

Acciones de mitigación inicial (sin romper todo)

CDN/WAF: activá modo “Under Attack”, desafía por challenge y endurecé reglas en endpoints caros.
Rate limiting: por IP/ASN/país en rutas sensibles; ventanas cortas (10–60 s).
Filtrado por puerto: cerrá/limita servicios que no deban estar públicos.
Caching agresivo: páginas anónimas; mueve autenticación a rutas separadas.
Escalado temporal: si estás en nube, subí instancia o réplicas mientras mitigás.

Referencias útiles: Cloudflare Learning Center: DDoS y OWASP: Denial of Service.

Monitor en vivo (qué tocar si aprieta)

Frames/requests caídos: bajá límites por IP, subí nivel de challenge.
CPU 90–100%: agrega caché/colas; quitá trabajo caro de la ruta atacada.
Network saturada: pedí al ISP/CDN scrubbing o “blackhole” controlado para el destino atacado.

Errores comunes al diagnosticar DDoS

Confundir campaña real con ataque: mirá calidad de tráfico (conversión/duración) además del volumen.
Bloquear todo: aplicá rate limit por capas; evitá tirar abajo a usuarios legítimos.
Sin registros: activá logs y retención suficiente para aprender del incidente.

Lee también nuestra guía sobre cómo grabar pantalla en Windows 11: métodos y atajos.

Legales y comunicación

Registrá hora/impacto/medidas tomadas. Si hay afectación a clientes, comunicá estado por un canal externo (status page/redes). Evitá exponer IPs internas, claves o rutas de administración.

Publicación y post-mortem

Guardá paneles y timelines del incidente.
Hacé un post-mortem breve con causas, métricas y acciones preventivas.
Automatizá alertas anómalas (RPS, SYN, UDP, 5xx) con umbrales y notificaciones.

Cierre: con este proceso ya sabés cómo saber si me están haciendo ataques ddos paso a paso, diferenciando picos legítimos de un ataque real, confirmando con métricas y logs, y aplicando mitigación sin tumbar a tus usuarios.