Ataque de amplificación DNS

La amplificación de DNS es un ataque DDoS que aprovecha los solucionadores de DNS para inundar un objetivo de tráfico.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir un ataque de amplificación de DNS
  • Explicar cómo funciona un ataque de amplificación de DNS
  • Conocer varias estrategias de mitigación de ataques de amplificación de DNS

Contenido relacionado

Mitigación de ataques DDoS

Cómo lanzar un ataque DDoS | Herramientas para ataques DoS y DDoS

¿Qué es un ataque de denegación de servicio (DoS)?

¿Qué es una botnet de DDoS?

¿Qué es la suplantación de IP?

¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es un ataque de amplificación de DNS?

Un ataque DDoS es un ataque volumétrico de denegación de servicio distribuido (DDoS) por reflexión en el que un atacante aprovecha la funcionalidad de los solucionadores de DNS abiertos para sobrecargar una red o servidor específico con una cantidad amplificada de tráfico, lo que impide el acceso al servidor y a su infraestructura asociada.

¿Cómo funciona un ataque de amplificación de DNS?

Todos los ataques de amplificación aprovechan una disparidad en el consumo de ancho de banda entre un atacante y el recurso web objetivo. Cuando la disparidad en el coste se multiplica a través de muchas solicitudes, el volumen de tráfico resultante puede perturbar la infraestructura de red. Enviar consultas breves que derivan en extensas respuestas permite al atacante superar su objetivo con menos esfuerzo. Si se multiplica este aumento haciendo que cada bot en una botnet (red de bots) realice solicitudes similares, el atacante evita ser descubierto y se beneficia plenamente de un aumento significativo del tráfico de ataques.

Para entender el papel de un bot en un ataque de amplificación de DNS, pensemos en un adolescente con malas intenciones que llama a un restaurante, pide todo lo que incluye el menú y solicita al establecimiento que le vuelvan a llamar para que le repitan todo el pedido". Cuando el restaurante le pide el número de teléfono, el adolescente facilita el número de la víctima, quien recibe entonces una llamada del restaurante con mucha información que no solicitó.

Como resultado de que cada bot realice solicitudes a solucionadores de DNS abiertos con una dirección IP falsificada, que se ha cambiado a la dirección IP real de la víctima, el objetivo recibe entonces una respuesta de los solucionadores de DNS. Para multiplicar el tráfico, el atacante estructura la solicitud de tal manera que genera una respuesta lo más extensa posible de los solucionadores de DNS. En consecuencia, el objetivo recibe una amplificación del tráfico inicial del atacante y su red se bloquea con tráfico ilegítimo, causando una denegación del servicio.

Diagrama de ataque DDoS por amplificación de DNS

Una amplificación de DNS se puede dividir en cuatro pasos:

  1. El atacante utiliza un punto de conexión en riesgo para enviar paquetes UDP con direcciones IP falsificadas a un recursor de DNS. La dirección falsificada en los paquetes señala a la dirección IP real de la víctima.
  2. Cada uno de los paquetes UDP realiza una solicitud a un solucionador de DNS, que a menudo aprueba un argumento como "CUALQUIERA" para recibir la respuesta más extensa posible.
  3. Después de recibir las solicitudes, el solucionador de DNS, que intenta ser útil respondiendo, envía una respuesta extensa a la dirección IP falsificada.
  4. La dirección IP del servidor recibe la respuesta y la infraestructura de red asociada se ve inundada por una avalancha de tráfico, con la consiguiente denegación de servicio.

Aunque unas cuantas solicitudes no son suficientes para interrumpir la infraestructura de red, cuando esta secuencia se multiplica a través de varias solicitudes y solucionadores de DNS, la amplificación de los datos que recibe el objetivo puede ser sustancial. Más información sobre los detalles técnicos de los ataques de reflexión.

¿Cómo se mitiga un ataque de amplificación de DNS?

Para un particular o una empresa que tiene un sitio o servicio web, las opciones de mitigación son limitadas. La razón es que el servidor de un particular, aunque pueda ser el blanco de un ataque, no es donde repercute principalmente el ataque volumétrico. Debido a la gran cantidad de tráfico generado, la infraestructura que rodea al servidor será la más afectada. Es posible que el proveedor de servicios de internet (ISP) u otros proveedores de infraestructura no puedan gestionar el tráfico entrante sin evitar una sobrecarga. Como resultado, el ISP puede dirigir a través de un agujero negro todo el tráfico a la dirección IP de la víctima, protegiéndose a sí mismo e interrumpiendo el sitio del objetivo. Las estrategias de mitigación, aparte de los servicios de protección remotos como la protección contra DDoS de Cloudflare, son en su mayoría soluciones preventivas de la infraestructura de Internet.

Reduce el número total de solucionadores DNS abiertos

Un componente esencial de los ataques de amplificación de DNS es el acceso a solucionadores de DNS abiertos. Todo lo que un atacante necesita hacer para utilizar un solucionador DNS mal configurado y, por tanto, expuesto a Internet, es descubrirlo. Lo ideal es que los solucionadores de DNS solo proporcionen sus servicios a los dispositivos originados dentro de un dominio de confianza. En el caso de los ataques de reflexión, los solucionadores de DNS abiertos responderán a las consultas desde cualquier lugar de Internet, permitiendo el abuso potencial. El hecho de restringir un solucionador de DNS para que solo responda a las consultas de orígenes de confianza convierte al servidor en un instrumento deficiente para cualquier tipo de ataque de amplificación.

Verifica la IP de origen. Evita que los paquetes falsificados salgan de la red

Debido a que las solicitudes UDP que envía la botnet del atacante deben tener una dirección IP de origen falsificada para la dirección IP de la víctima, un componente clave para contrarrestar la eficacia de los ataques de amplificación basados en UDP es que los proveedores de servicios de Internet rechacen cualquier tráfico interno con direcciones IP falsificadas. Si un paquete se envía desde dentro de la red con una dirección de origen que hace que parezca que se originó fuera de la red, es probable que sea un paquete falsificado y puede eliminarse. Cloudflare recomienda que todos los proveedores implementen el filtrado de ingreso, y en ocasiones contactará con aquellos proveedores de Internet que estén formando parte de un ataque DDoS sin saberlo y les informará sobre su vulnerabilidad.

¿Cómo mitiga Cloudflare los ataques de amplificación de DNS?

Bloquear ataques de reflexión, como ataques de amplificación de DNS, con un firewall correctamente configurado y con suficiente capacidad de red (que no siempre es fácil de encontrar, a menos que se tenga la magnitud de Cloudflare) es muy sencillo. Aunque el ataque se dirija a una sola dirección IP, nuestra red Anycast distribuirá todo el tráfico de ataques hasta el punto en que deje de suponer un problema. Cloudflare puede utilizar su red escalable para distribuir el volumen del ataque en muchos centros de datos, equilibrando así la carga para que el servicio nunca se vea interrumpido y el ataque no sature la infraestructura del servidor objetivo. En un periodo de seis meses, nuestro sistema de mitigación de DDoS "Gatebot" detectó 6.329 ataques de reflexión simples (es decir, uno cada 40 minutos) y nuestra red logró mitigarlos todos. Más información sobre la protección avanzada DDoS de Cloudflare.

Primeros pasos

Acerca de los ataques DDoS

Ataques DDoS

Herramientas para ataques DDoS

Glosario de DDoS

Navegación del centro de aprendizaje

© 2025 Cloudflare, Inc.Política de privacidadCondiciones de usoInformar sobre problemas de seguridadConfianza y seguridadMarca