¿Cuál es la diferencia entre ataques DDoS de Capa 7 y Capa 3/4, y por qué difieren las mitigaciones?

Question

Accepted Answer

La diferencia se reduce a **qué parte del stack es abusada por el ataque**, y eso determina cómo detectas y lo detienes. Los ataques de Capa 3/4 se tratan de **volumen bruto**; los ataques de Capa 7 se tratan de **solicitudes caras que parecen realistas**.

## Capa 3/4 — ataques volumétricos / de red

Estos atacan las **capas de red y transporte** e intentan saturar el ancho de banda o agotar el estado de conexión, no tu lógica de aplicación.

- **SYN flood** — abre handshakes TCP pero nunca los completa, llenando la tabla de conexiones hasta que clientes legítimos no pueden conectarse.
- **UDP flood** — envía ráfagas de paquetes UDP a puertos aleatorios, forzando al host a procesar y responder.
- **Amplificación / reflexión** (DNS, NTP, memcached) — suplanta la IP de la víctima para que pequeñas consultas disparen enormes respuestas dirigidas a la víctima, multiplicando el ancho de banda del atacante 50-500x.

**La mitigación** se trata de absorber o filtrar paquetes: **SYN cookies** (para que el servidor no mantenga estado hasta que se complete el handshake), **anycast + centros de limpieza** para dispersar y limpiar la inundación en capacidad global, y **filtrado upstream/ISP** para descartar paquetes suplantados o basura antes de que lleguen a ti. Los paquetes mismos están obviamente malformados o no solicitados, así que el filtrado es mecánico.

## Capa 7 — ataques a aplicación

Estos atacan la **capa de aplicación (HTTP)** con solicitudes que parecen completamente legítimas.

- **HTTP flood** — inunda endpoints reales (`GET /search?q=...`, `POST /login`) para que cada solicitud fuerce una consulta a base de datos, renderizado o verificación de autenticación.

El peligro es la **asimetría**: una solicitud diminuta puede costarte una consulta pesada, así que mucho menos ancho de banda te derriba. Y como cada solicitud está bien formada, el filtrado de paquetes no puede distinguirla de un usuario real.

**La mitigación** debe ser más inteligente que el filtrado: un **WAF** para coincidir con patrones maliciosos, **rate limiting** por IP/usuario/token, y **análisis de comportamiento** (páginas de desafío, JS/CAPTCHA, fingerprinting) para separar bots de humanos.

## Por qué es importante

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Por qué es importante

No puedes defender ambos con una sola herramienta. Un centro de limpieza que tritura una inundación UDP de 1 Tbps dejará pasar una inundación HTTP de 50,000 solicitudes por segundo, porque cada solicitud parece válida. Los ingenieros senior identifican la capa primero, luego recurren al control correspondiente — limpieza a nivel de paquete y anycast para ataques volumétricos, WAF a nivel de solicitud, rate limiting y desafíos de comportamiento para inundaciones de aplicación.