Hau da hiru argitalpenetako lehena, non mehatxu hauek nola eboluzionatu duten eta nola eragiten duten zibersegurtasun modernoaren estrategietan aztertuko dugun. Post honetan, DDoSaren egoera eguneratua aztertuko dugu: erasoa nola aldatu den, azken datuak, erabilitako teknika berriak, eragindako sektore nagusiak eta zein defentsa estrategia mota ezinbesteko bihurtzen ari diren. Hurrengo atalean sare bektoreetan (L3/L4) eta aplikazio geruzako erasoetan (L7) zentratuko gara, ikuspegi tekniko eta xeheago batekin.
Hemen hasten gara: DDoSaren egoera argi baten erradiografia batekin, bere azken eboluzioa, eragin globala eta erantzuteko giltzak ingurune gero eta konplexuago eta azkarrago batean.
Mende hasieratik, zerbitzu ukapen banatuen (DDoS) erasoek erabat eboluzionatu dute: saturazio oinarrizko eraso sinpleetatik, maila estrategiko altuko eraso koordinatuetara. 2007an, Estonia izan zen nazio mailako DDoS zibererasoen lehenetako baten biktima, zibersegurtasunaren historian aurre eta ondoren markatuz. Urte batzuk geroago, 2016an, IoT gailu konprometituetatik osatutako botnet batek Dyn erasotu zuen, DNS zerbitzu garrantzitsu bat, Twitter, PayPal, Amazon eta Netflix bezalako plataforma globaletan etenaldi zabalak sortuz.
Eskalada hor ez zen gelditu. GitHub (2018), AWS (2020), Azure (2021) eta Google (2023) ere gero eta masiboago eta konplexuagoak ziren erasoen helburu izan ziren, errekor kopuruak lortuz: segundo bakoitzeko ehunka milioi eskaera edo 3 Tbps (terabit segundo bakoitzeko) baino gorako gailurrak.
Baina hori guztia itzali egin zen 2025eko inoizko ekitaldi paregabe baten aurrean. Cloudflare-k inoiz erregistratutako DDoS eraso handiena arintzea lortu zuen: 7,3 Tbps soilik 45 segundotan, 37 terabyte baino gehiago trafiko kaltegarria sortuz. Eraso hau, web ostalaritza hornitzaile garrantzitsu baten aurka zuzendua, bektore anitz konbinatu zituen, hala nola UDP Floods, NTP ispiluko erasoak eta Mirai botnetaren aldaerak sortutako trafikoa.
Ibilbide historiko honek eraldaketa garrantzitsu bat agerian uzten du: DDoS erasoak ez dira gehiago bolumenaren arabera neurtzen soilik, orain kontuan hartzen dira exekuzioaren abiadura, bektoreen adimena eta ihes egiteko gaitasuna. Paradigma aldaketa honek inflexio puntu bat adierazten du ekosistema digital osoarentzat.
Cloudflare eta Nexusgarden azken txostenek errealitate berri hau baieztatzen dute. Aro berri bat hasi da: DDoS erasoek ez dute orduak iraun behar edo petabyteak mugitu behar sare-infrastruktura osoak erortzeko. Gaur egun, segundotxo batzuk ondo antolatuta nahikoa dira aplikazio kritikoak destabilizatzeko eta defentsa aurreratuak dituzten erakundeak ere kaltetu eta geldiarazteko.
2025eko hasierak argi utzi digu eszenatoki berria eta erronka handikoa dela: DDoS erasoak ez dira soilik maizago eta indartsuagoak, baita laburragoak eta sofistikatuagoak ere, babes eta detekzio mekanismo tradizionalen gaitasunak gaindituz.
Mehatxuen gorakada eta neurririk gabeko tamaina
2025eko lehen hiruhilekoak datu kezkagarriak utzi zituen, DDoS mehatxuen eszenatokiaren eraldaketa radikal bat baieztatuz. Cloudflarek 20,5 milioi eraso murriztu zituen, urte arteko %358ko hazkundea eta aurreko hiruhilekoarekiko %198koa adieraziz. Bolumen hau ia 2024 osoan blokeatutako guztiarekin parekoa da, erasoen maiztasunean inoiz ikusi gabeko azkartze bat erakutsiz.
Gertakari garrantzitsuen artean dago 18 eguneko kanpaina luzea, eraso anitzeko bektoreekin, Cloudflareren sare-infrastruktura zuzenean helburu izan zuena 6,6 milioi eraso baino gehiago sortuz. Eraso honek SYN flood-ak, SSDP handitzeak eta Mirai bezalako botnetek sortutako erasoak barne hartu zituen. Intentsitate handieneko gailurrak 6,5 Tbps-ko trafikoa eta segundoko 4.800 milioi paketeak izan ziren, aurreko errekorrak gaindituz eta iraupen laburragatik (35–45 segundotan) erreakzio manualaren gaitasuna gaindituz.
Paraleloki, Nexusguardek erasoen tamaina ertainaren %69ko hazkundea jakinarazi zuen, 1,35 Gbps-ra iritsi zena, eta UDP zatikatzearen bidezko erasoen %27ko gehikuntza, teknika bat, zeinak sistemaek zatitutako paketeak berreraikitzeko modua ustiatzen duen. Gainera, DNS erasoetan %876ko hazkunde bortitza erregistratu zen eta HTTPS Flood erasoak nagusi bihurtu ziren, erasoen %21aren erantzule.
Nahiz eta hipervolumeneko erasoak azkar albiste bihurtzen diren, egia da gehienak —%85 baino gehiago— bolumen txikikoak eta maiztasun handikoak direla. Eraso mota honek detekzio mekanismo tradizionalak saihestu eta baliabideak isilean baina etengabe kontsumitzea bilatzen du. Gainera, sare-geruzari zuzendutako erasoen %89 eta HTTP erasoen %75 10 minututik gutxiagoan amaitzen dira, askok 35 segundotan bakarrik bukatzen dute. Eraso hauen iraupen laburrak erreakzio manual eraginkor mota guztiak zailtzen ditu, eta horregatik ezinbestekoa da defentsa automatizatuak izatea, beti aktiboak eta denbora errealean ikuskapen gaitasunarekin.
Gaur egungo DDoS erasoei buruzko ezaugarri teknikoak
Zerbitzu ukapen banatuen (DDoS) erasoak askoz zehatzago, automatizatuago eta suntsitzaileago bihurtu dira. Ez da orain trafiko masiboarekin orduetan saturatzea soilik; gaur egungo erasoak laburragoak, indartsuagoak eta detektatu zailagoak dira. Azken datuen arabera, sare geruzako (L3/L4) erasoen %89 eta HTTP (L7) erasoen %75 10 minututik gutxiago irauten dute, eta suntsitzaileenen gehienak 35 segundotik gora ez dira iristen. Eroso laburrak ez dute eraginik murrizten: segundotan, eraso hauek routerrak kolapsatu, zerbitzu garrantzitsuak eten eta aplikazioak saturatu ditzakete, erabiltzailearen esperientzia kaltetuaz, eta horrek kalte ekonomiko larriak eta ospe-galera luzeak eragin ditzake.
Eraso profila hau —azkarra, automatizatua eta multibektorekoa— eskalatzeko prozesu manualen eraginkortasuna baliogabetzen du, hala nola scrubbing zentroen eskaripeko aktibazioa edo espezializatutako analisten esku-hartzea. Praktikan, sistema autonomo, beti aktibo eta trafiko zifratua sakon aztertzen dutenak ez dituzten erakundeak guztiz esposatuta geratzen dira.
Erasotzaileek bektore klasikoen erabilera hobetu dute eta teknika saihesgarri berriak gehitu dituzte. Cloudflare-ren arabera, 2025eko lehen hiruhilekoan sare geruzako (L3/L4) eraso nagusiak hauek izan ziren:
- SYN Flood (30,7 %): TCP konexio ilara saturatzea SYN pakete faltsuak erabiliz, konexio erdi irekien bidez zerbitzariaren baliabideak agortuz.
- DNS Flood (18,5 %): DNS kontsulta masiboak bidaltzea resolver edo zerbitzari autoritatiboak saturatzeko.
- Mirai botnetak eta aldaerak (18,2 %): IoT gailu komprometituetatik sortutako erasoak, trafiko banatu eta oso paraleloarekin.
Aplikazio geruzan (L7), HTTP erasoen %60 baino gehiago botnet ezagunetatik datoz, eta teknika saihesgarri etengabe hazten ari dira, hala nola:
- Nabigatzaile faltsuak edo headless-ak: Chrome edo Firefox bezalako nabigatzaile legezkoak imitatzen dituzten erabiltzaile agenteak, sinadura oinarritutako iragazkiak saihesteko.
- HTTP eskaerak manipulatuak: anomaliadun goiburuak, URI aldaketak eta cache eta WAFak saihesteko diseinatutako kontsulta patroiak.
Erasoen sofistikazioa ere islatzen da ohikoak ez diren, baina oso eraginkorrak diren bektoreetan, protokolo gutxi erabiltzen edo oker konfiguratutako ahultasunak ustiatzen dituztenetan:
- CLDAP handitzea (+3488 % igoera): LDAP zerbitzari oker konfiguratutakoak (389 portua) erabiliz UDP islatzea, erantzun handituak biktimari bidaltzeko, bere sarean trafiko gehiegizko saturazioa sortuz.
- ESP Flood (IPSec) (+2301 % igoera): IPSec protokoloaren ESP paketeen bidez saturazioa, konfigurazio ahulak aprobetxatuz azpiegitura saturatzeko eta etenak eragiteko.
- SYN-ACK Flood (+1457 % igoera): TCP erantzun faltsuekin uholdeak, handshake-a osatu beharrik gabe.
- DNS erasotze zuzenak (+946 % igoera): islarik gabeko DNS trafiko kaltegarria, botnetetatik bolumen zuzena.
- Mirai eta bere aldaerak (etengabea): IoT gailu zombifikatuak, erasoei iturri iraunkorra izaten jarraitzen dutenak.
Bektore hauek ihes egiteko gaitasun handia dute, askok ez baitute bolumeneko patroirik sortzen, eta horrek zailtzen du tradizionalak diren threshold edo trafikoaren azterketa gainazaleko soluzioek detektatzea. Gainera, banatutako eta asinkronoko exekuzioak erasoak fluxu txiki askotan zatitzeko aukera ematen du, identifikazioa are gehiago konplikatuz.
DDoS erasoei aurre egiteko estrategia sakonagoak behar dira, erasoei aurre egiteko modu laburrago, automatizatu eta multibektorialetara egokituz. Ez da nahikoa banda zabalera edo perimetroko firewallak izatea: mehatxu adimenean oinarritutako defentsa arkitektura bat behar da, denbora errealean detekzioa, trafiko zifratua aztertzea eta maila globalean autokudeatutako murrizketa. DDoS erresilientzia ez da aukera teknikoa, baizik eta eskakizun operatiboa.
Bestalde, aztertutako HTTP DDoS trafikoak kezka sortzen duen eredu bat erakusten du: erasotako eraso gehienak hodei eta ostatatzeko zerbitzu legezko hornitzaileei dagokien sistema autonomoetatik (ASN) datoz.
Fenomeno honek erakusten du hodei inguruneen erabilera sistematikoa kontu komprometituen bidez, probako inguruneak segurtasunik gabe edo lehenetsitako konfigurazioekin. Eskalatzeko erraztasuna, anonimotasun erlatiboa eta plataforma hauen eskuragarritasun globala dira bolumen handiko eraso banatuak abiarazteko bektore idealak.
Erasotuen sektoreak
2025eko lehen hiruhilekoko sektore-azterketak DDoS erasotzaileen lehentasunetan aldaketa esanguratsua erakusten du, ikuspegi gero eta zabalago eta estrategikoago batekin. Apustu eta Kasino sektorea da erasotuenen sailkapenaren buruan, eta ondoren Telekomunikazioak, Teknologia eta IT, eta Bideojokoak datoz, guztiak digitalki oso esposatuak, denbora errealean zerbitzu kritikoak eta etengabeko eskuragarritasunaren menpekotasun handia duten sektoreak.
Hala ere, garrantzitsuena da tradizionalki mehatxu mota honi gutxiago esposatzen zaizkion sektoreek duten presentzia nabarmena. Zibersegurtasuna, Aeroespaziala eta Hegazkintza, eta Fabrikazioa, Ingeniaritza eta Industria Teknologia top 10 sektore erasotuenen artean daude, eta horrek argi adierazten du ziberdelinkuenteen aldetik taktikoki dibertsifikazio argia dagoela.
Patroi honek adierazten du erasotzaileek lehentasuna ematen diotela azpiegitura kritikoak dituzten helburuei, ingurune operatibo konplexuak eta interdependentzia digital maila altuak dituztenei, non etenaldi labur batek eragin kateatuak sor ditzakeen operatibo, finantzario eta ospe mailan. Gainera, sektore askok datu sentikorrak edo industria kontrol sistema dituzte, eta horrek zerbitzu ukatzeko erasoak eta distrakzio edo sabotaje kanpainak egiteko helburu erakargarriak bihurtzen ditu.
Testuinguru honetan, DDoS babesa ez da kontsumo masiboko sektore edo web zerbitzuetarako neurri esklusibo gisa kontsidera daitekeenik, baizik eta edozein industria digitalki esposatutako aktiboekin edo Internetera konektatutako prozesu kritikoekin duen beharra. Honek ere eragin zuzena du Europako araudi betetze markoan. NIS2 Zuzentarauak eta DORA Erregelamenduak erakundeei —bereziki entitate esanguratsu edo garrantzitsutzat jotakoek— neurri tekniko eta antolakuntza egokiak ezartzea eskatzen diete, DDoS erasoei aurre egiteko erresilientzia operatibo digitala bermatzeko.
Ondorioak
Eguneko egoerak argi utzi digu azpiegituraren ertzak babestea ez dela nahikoa: defentsa tradizionala iraungi da. DDoS erasoei dagokienez, abiadura, aldakortasun eta sofistikazioak ziberbabesaren eredu oso baten eraldaketa eskatzen dute. Ez da nahikoa garbiketa zentro bat sortzea edo portu ezagunak iragaztea; orain denbora errealean erantzun behar da, zehaztasunarekin eta trafiko zifratuko ikusgarritasun osoarekin.
Babes modernoak bost printzipio funtsezkoetan oinarritu behar du:
- Autonomo eta berehalako murrizketa izatea, giza esku-hartze beharra murriztu edo ezabatzen duena eta milisegundotan jarduten duena.
- Always-on eta geruza anitzeko babes bat ezartzea, non sareko firewall-a, DNS segurua, WAF, 7. geruzako murrizketa eta telemetria globala modu koordinatuan lan egiten duten.
- Jokabidean oinarritutako detekzioa txertatzea, bolumenaren igoera detektatu gabe ere patroi anomaloak identifikatzeko aukera ematen duena.
- Simulazioak eta barne presio probak egitea, talde batek baldintza errealetan entrenatu ez badu zailtasun handiz erantzungo dio erasoi eraginkorrari.
- Sare eta hodeiko hornitzaileekin aliantza aktiboak ezartzea, erasoa bere jatorritik neutralizatzea errazten duena, perimetroa iritsi baino lehen.
Hurrengo atalean xehetasunez aztertuko dugu nola DDoSaren bilakaera honek sareko geruzetan (L3/L4) nola agertzen den, erabilien diren bektoreak aztertuz eta nola aurre egin detekzio mekanismo eraginkorrekin.
