Inicio/Soluciones/Protección DDoS
OcNOS-SP · FastNetMon · BGP Flowspec · RTBH

Detecte y detenga ataques DDoS en menos de 2 segundos, en su propia red.

OcNOS con FastNetMon ofrece detección y mitigación automatizada de DDoS directamente en el edge de red, sin centro de scrubbing, sin desvío a la nube y sin latencia adicional. Los ataques se detectan mediante telemetría sFlow/NetFlow y se mitigan a tasa de línea en hardware ASIC.

Reservar demo DDoS Ver hardware
Arquitectura y despliegue

De la detección a la mitigación en segundos.

El resumen de arquitectura y la nota de aplicación de implementación: la visión de alto nivel más la configuración paso a paso para BGP Flowspec y RTBH en OcNOS con FastNetMon.

Solution brief

Defensa DDoS automatizada y asequible: OcNOS + FastNetMon

BGP Flowspec y RTBH en OcNOS con integración de FastNetMon: de la detección a la mitigación en segundos, dimensionado para redes regionales y empresariales.

Obtener el brief
Nota de aplicación

Mitigación automatizada de DDoS: guía de despliegue

Configuración paso a paso: políticas BGP Flowspec, activación de RTBH, integración de FastNetMon con OcNOS, la referencia lista para su despliegue.

Obtenga la nota de aplicación
¿Por qué mitigación DDoS en la red?

Los centros de scrubbing añaden latencia y coste. El Flowspec por hardware no añade ninguno.

La protección DDoS tradicional desvía todo el tráfico a un centro de scrubbing fuera de ruta, añadiendo 10–50 ms de latencia por paquete incluso en operación normal y un coste por Gbps por la capacidad de scrubbing. Este modelo tenía sentido cuando los ataques eran raros y la detección lenta.

Los ataques de hoy son más rápidos, más grandes y más frecuentes. OcNOS con FastNetMon sitúa la lógica de detección y mitigación directamente en el borde de la red: La telemetría sFlow/NetFlow fluye continuamente desde OcNOS hacia FastNetMon; cuando se detecta un ataque, FastNetMon empuja reglas BGP Flowspec a OcNOS; OcNOS instala las reglas en el hardware del ASIC a velocidad de línea. El bucle completo se cierra en menos de 2 segundos, y no se añade ninguna latencia al tráfico legítimo.

Tipos de ataque detectados y mitigados:

Amplificación UDP Inundación SYN Inundación TCP RST Inundación ICMP Flood de consultas DNS Amplificación NTP Reflexión Memcached Saturación volumétrica del ancho de banda Ataque de paquetes fragmentados

Integración FastNetMon: Motor de detección DDoS de producción

FastNetMon Advanced es un sistema de detección DDoS de nivel productivo utilizado por cientos de ISPs y proveedores de hosting en todo el mundo. Consume sFlow, NetFlow v5/v9, IPFIX y tráfico port-mirror desde OcNOS, y desencadena acciones automáticas de mitigación con umbrales configurables por host y por subred.

BGP FlowSpec (RFC 8955): Filtrado quirúrgico de tráfico

Empareje y filtre tráfico de ataque por IP de origen/destino, protocolo, puerto, longitud de paquete, flags TCP, DSCP y tipo de fragmento. Las reglas se envían por BGP y se instalan en hardware ASIC en milisegundos: filtrado a tasa de línea sin sobrecarga de CPU. Descarte, limite o redirija el tráfico coincidente.

RTBH Blackholing: Protección rápida y contundente

Blackholing basado en BGP para grandes ataques volumétricos. Activado por el cliente o automáticamente vía FastNetMon cuando el tráfico hacia un prefijo supera un umbral. Las rutas RTBH se propagan a los peers upstream y proveedores de tránsito, deteniendo el tráfico de ataque antes de que entre en su red.

sFlow & NetFlow Telemetry: Continuous Traffic Visibility

OcNOS exporta sFlow (RFC 3176), NetFlow v5/v9 e IPFIX desde todas las interfaces edge: muestreo acelerado por hardware con tasas de muestreo configurables. Alimenta a FastNetMon para detección de DDoS y, simultáneamente, a Kentik, PRTG, Prometheus o cualquier flow collector para analítica de tráfico.

Filtrado ACL por hardware: Estático, bloqueo sin CPU

Listas de control de acceso aceleradas por ASIC para bloquear permanentemente actores maliciosos conocidos: IPs, subredes, protocolos o puertos específicos. Limitación de tasa por interfaz, VLAN o prefijo. Configurado una vez y aplicado en hardware de forma permanente, sin sobrecarga de enrutamiento ni procesamiento.

FastNetMon → OcNOS. respuesta automatizada ALERTA
1. FastNetMon detecta la anomalía vía sFlow
ALERTA Inundación UDP → 203.0.113.50
14 Gbps. umbral de 5 Gbps superado
2. FastNetMon envía BGP Flowspec a OcNOS
POST /api/flowspec/rule
match: dst 203.0.113.50/32 proto UDP
action: rate-limit 100Mbps
→ regla instalada en ASIC: 0,8 s
3. OcNOS aplica al ritmo de línea en hardware
Reglas Flowspec activas 14
Descartado (ataque) 2.4M pps
Limitado por tasa 180K pps
✓ tráfico limpio pasa con normalidad

FastNetMon: el motor de detección

FastNetMon Advanced es un motor dedicado de detección de DDoS utilizado por cientos de ISPs en todo el mundo. Se integra de forma nativa con OcNOS a través de BGP Flowspec y RTBH. Soporta sFlow, NetFlow e IPFIX con umbrales configurables por host, subred y protocolo.

Más sobre FastNetMon →
<2s
Bucle detección-mitigación: desde la anomalía sFlow hasta la regla Flowspec en el hardware
0ms
Sin latencia añadida al tráfico legítimo: el filtrado es in-line en el ASIC, no en un scrubber off-path
0%
Sobrecarga de CPU para la aplicación de ACL hardware y Flowspec: acelerada por ASIC
600+Despliegues de operadores
60+Países
26Años en redes
Arquitectura de referencia

Detección y mitigación de DDoS en la red: topología completa

Una imagen completa de dónde se sitúa cada capa de protección. El tráfico de ataque desde internet llega a los routers de borde OcNOS, donde la telemetría sFlow alimenta continuamente a FastNetMon. Cuando FastNetMon detecta una anomalía, envía BGP Flowspec o RTBH de vuelta al borde, instalándolo en el hardware ASIC en milisegundos. Los pares aguas arriba también pueden recibir anuncios de RTBH para descartar el tráfico de ataque antes de que alcance su red.

Topología de protección DDoS en red con el edge de OcNOS y FastNetMon El tráfico de ataque desde fuentes de botnet transita por un par ascendente hacia dos enrutadores de borde OcNOS-SP. Los enrutadores de borde exportan telemetría sFlow y NetFlow a un motor de detección FastNetMon. Cuando se detecta un ataque, FastNetMon envía rutas de BGP FlowSpec o RTBH de vuelta a los enrutadores de borde mediante BGP, instalando reglas en el ASIC para el filtrado a velocidad de línea. El tráfico limpio continúa hacia la red protegida del cliente o del centro de datos. El par ascendente también puede recibir anuncios RTBH a través de BGP para descartar el tráfico de ataque antes de que ingrese a la red protegida. Attackers botnet distribuida 10–100 Gbps Customers tráfico legítimo HTTP/DNS/SSH Par de tránsito recepción eBGP / RTBH Internet de nivel 1 Descartes RTBH /32 OcNOS Edge-01 UfiSpace S9600-72XC Qumran-AX · 4,8 Tbps ASIC HARDWARE Descarte Flowspec + ACL line-rate · 0% CPU OcNOS Edge-02 UfiSpace S9600-72XC ECMP redundante Flowspec + ACL en ASIC ataque + clean FastNetMon Motor de detección Análisis sFlow + NetFlow < detección de umbral en 1 s sFlow ↑ BGP Flowspec ↓ + RTBH RTBH propagado aguas arriba sobre eBGP → Servidores protegidos DC / infraestructura alojada solo tráfico limpio · 0ms añadidos Redes del cliente política por inquilino servicio gestionado de DDoS clean ✓ descarte de ataques DETECT-TO-MITIGATE LOOP 1. Anomalía detectada FastNetMon: <1s 2. Envío de BGP Flowspec FNM → OcNOS: ~200ms 3. Regla de ASIC instalada Hardware de OcNOS: ~800 ms 4. Ataque descartado a velocidad de línea bucle total: <2s · 0ms de latencia en tráfico limpio
Tráfico de ataque
Tráfico limpio
Telemetría sFlow / NetFlow
BGP Flowspec / RTBH (plano de control)
↳ pase el cursor sobre cualquier nodo para ver detalles de plataforma, ASIC, BGP y política
Cómo funciona

De la detección de ataque al bloqueo del tráfico: cuatro pasos

El ciclo completo de detección-mitigación está automatizado. Una vez configurado, no se requiere intervención humana para detener un ataque.

1

Recopilar

OcNOS exporta telemetría sFlow y NetFlow desde todas las interfaces edge hacia FastNetMon. Muestreo de paquetes acelerado por hardware: sin sobrecarga de CPU ni impacto en el rendimiento de forwarding.

2

Detectar

FastNetMon analiza los datos de flujo frente a umbrales por host y por subred. Identifica floods volumétricos, SYN storms, amplificación UDP, floods DNS y ataques por reflexión NTP, normalmente en menos de 1 segundo.

3

Señal

FastNetMon envía automáticamente a OcNOS por BGP reglas BGP Flowspec (para mitigación quirúrgica) o rutas RTBH blackhole (para ataques volumétricos). Totalmente automatizado: sin acción del operador durante el ataque.

4

Mitigar

OcNOS instala reglas Flowspec o rutas RTBH directamente en el hardware del ASIC. El tráfico de ataque se descarta o se limita a velocidad de línea completa. El tráfico legítimo continúa sin verse afectado. Las reglas se retiran automáticamente cuando el ataque cesa.

Casos de uso

Dónde encaja la protección DDoS con OcNOS

La protección DDoS de OcNOS funciona para cualquier operador con hardware abierto en el borde de la red, desde pequeños ISPs hasta grandes operadores de data center.

🌐

Protección de edge ISP y SP

Proteja los edges de peering y los enlaces de tránsito frente a DDoS volumétricos que saturarían el ancho de banda hacia clientes. La detección sFlow en el router de peering con mitigación automática BGP Flowspec detiene los floods antes de que lleguen a los clientes downstream. La coordinación upstream RTBH con los proveedores de tránsito detiene los ataques antes de que entren en su red.

🏢

Perímetro del centro de datos

Filtrado DDoS in-line en el borde del DC, protegiendo la infraestructura hospedada y las cargas cloud. Las ACL estáticas en hardware bloquean a los actores maliciosos conocidos de forma permanente. Las reglas Flowspec dinámicas se adaptan a nuevas firmas de ataque en tiempo real. Sin desvío de tráfico a un centro de scrubbing: cero impacto de latencia para el tráfico legítimo.

🛡️

Servicio gestionado de protección DDoS

Los operadores pueden ofrecer protección DDoS por cliente como servicio gestionado, facturando por prefijo protegido. FastNetMon admite perfiles de umbral por cliente. OcNOS aplica reglas Flowspec por cliente. Sin infraestructura de scrubbing compartida: la protección de cada cliente es dedicada y dentro de la red.

Preguntas frecuentes

Protección DDoS con OcNOS: FAQ

¿Qué es BGP Flowspec y cómo lo utiliza OcNOS para la mitigación de DDoS?
BGP FlowSpec (RFC 8955, originalmente RFC 5575) es una extensión de BGP que distribuye reglas granulares de filtrado de tráfico entre los enrutadores, de forma similar a enviar ACLs mediante BGP, pero con condiciones de coincidencia más granulares. OcNOS admite la coincidencia de FlowSpec por IP de origen, IP de destino, protocolo, puerto de origen/destino, longitud del paquete, banderas TCP, DSCP y tipo de fragmento IP. Cuando FastNetMon detecta un ataque, envía reglas de FlowSpec a OcNOS mediante BGP en milisegundos. OcNOS instala estas reglas directamente en el hardware del ASIC, donde descartan o limitan la tasa del tráfico coincidente a plena velocidad de línea, sin sobrecarga de CPU.
¿Cómo se integra FastNetMon con OcNOS y qué tan rápido responde?
FastNetMon recibe telemetría sFlow, NetFlow v5/v9 o IPFIX desde las interfaces de OcNOS y analiza continuamente el tráfico frente a umbrales configurables por host y por subred. Cuando una anomalía supera el umbral, por ejemplo una inundación UDP que supera los 5 Gbps hacia un único destino, FastNetMon activa automáticamente una regla de BGP FlowSpec (para una mitigación quirúrgica y específica de protocolo) o una ruta de blackhole RTBH (para el blackholing completo de prefijos) mediante BGP hacia OcNOS. El ciclo de detección a mitigación está automatizado y normalmente se completa en menos de 2 segundos.
¿Qué tipos de ataques DDoS detecta y mitiga esta solución?
FastNetMon con OcNOS detecta y mitiga los tipos de ataque DDoS más comunes: inundaciones volumétricas (amplificación UDP, inundación ICMP, saturación de ancho de banda en bruto), ataques de protocolo (SYN flood, inundación TCP RST, ataques de paquetes fragmentados) y ataques de capa de aplicación detectables mediante análisis de flujo (inundaciones de consultas DNS, amplificación NTP, amplificación Memcached). BGP Flowspec puede coincidir según el protocolo, el puerto, las banderas TCP y el tipo de fragmento para una mitigación quirúrgica y precisa. Para ataques volumétricos en los que la precisión importa menos que la velocidad, el blackholing RTBH descarta todo el tráfico hacia el prefijo objetivo en el borde de la red.
¿Puede OcNOS realizar mitigación DDoS sin FastNetMon?
Sí. OcNOS proporciona tres mecanismos independientes de mitigación de DDoS que funcionan sin FastNetMon: ACLs estáticas de hardware (aceleradas por ASIC, sin sobrecarga de CPU) para el bloqueo permanente de actores maliciosos conocidos; blackholing RTBH manual mediante BGP para el blackholing de prefijos activado por el operador; y la recepción de reglas de BGP FlowSpec desde cualquier emisor BGP estándar. Los operadores con plataformas de detección existentes, como Arbor/Netscout, A10 Networks, Cloudflare Magic Transit o Kentik, pueden usar OcNOS como plano de aplicación, recibiendo comandos FlowSpec o RTBH desde su sistema de detección existente.
¿Qué es el blackholing RTBH y cuándo conviene usarlo en lugar de Flowspec?
El blackholing RTBH (Remotely Triggered Black Hole) funciona anunciando el prefijo de destino objetivo a través de BGP con un siguiente salto que apunta a una interfaz de descarte. Todos los routers ascendentes que reciben el anuncio RTBH descartarán en su borde todo el tráfico destinado a ese prefijo, deteniendo el tráfico de ataque antes de que entre en su red. RTBH es la opción correcta para ataques volumétricos de alto volumen en los que detener todo el tráfico hacia un destino (incluido el tráfico legítimo) es aceptable para proteger el resto de la red. BGP Flowspec es preferible cuando se necesita una mitigación quirúrgica: por ejemplo, bloquear solo el puerto UDP 53 hacia un destino mientras se permite el paso del tráfico TCP. En la práctica, los operadores a menudo comienzan con RTBH por su velocidad y cambian a Flowspec por su precisión una vez que el ataque está caracterizado.
¿La mitigación de DDoS dentro de la red con OcNOS reemplaza a un scrubbing center?
La mitigación dentro de la red complementa o reemplaza parcialmente los centros de depuración según el tipo y la escala del ataque. Para ataques volumétricos dirigidos a sus propios prefijos, OcNOS con FastNetMon proporciona una respuesta más rápida (en menos de 2 segundos) a un costo menor que enrutar el tráfico a través de un centro de depuración, porque el filtrado ocurre en línea en el borde de la red en ASICs de hardware. Para ataques muy grandes que saturan los enlaces ascendentes antes de llegar a sus routers, el RTBH ascendente con sus proveedores de tránsito combinado con Flowspec dentro de la red es el enfoque más eficaz. Los proveedores de servicios gestionados de DDoS también pueden usar OcNOS como el plano de aplicación por cliente para reglas y umbrales Flowspec por cliente.
Protégete

Proteja su red sobre hardware abierto.

Hable con nuestros especialistas de seguridad y redes. Revisaremos su topología, su modelo de amenazas y la configuración Flowspec y RTBH adecuada para su entorno.

Reservar demo DDoS Descargar la VM OcNOS