Inicio/Soluciones/Protección DDoS
OcNOS-SP · FastNetMon · BGP Flowspec · RTBH

Detecte y detenga ataques DDoS en menos de 2 segundos, en su propia red.

OcNOS con FastNetMon ofrece detección y mitigación automatizada de DDoS directamente en el edge de red, sin centro de scrubbing, sin desvío a la nube y sin latencia adicional. Los ataques se detectan mediante telemetría sFlow/NetFlow y se mitigan a tasa de línea en hardware ASIC.

Reservar demo DDoS Ver hardware
¿Por qué mitigación DDoS en la red?

Los centros de scrubbing añaden latencia y coste. El Flowspec por hardware no añade ninguno.

La protección DDoS tradicional desvía todo el tráfico a un centro de scrubbing fuera de ruta, añadiendo 10–50 ms de latencia por paquete incluso en operación normal y un coste por Gbps por la capacidad de scrubbing. Este modelo tenía sentido cuando los ataques eran raros y la detección lenta.

Los ataques de hoy son más rápidos, más grandes y más frecuentes. OcNOS con FastNetMon sitúa la lógica de detección y mitigación directamente en el borde de la red: La telemetría sFlow/NetFlow fluye continuamente desde OcNOS hacia FastNetMon; cuando se detecta un ataque, FastNetMon empuja reglas BGP Flowspec a OcNOS; OcNOS instala las reglas en el hardware del ASIC a velocidad de línea. El bucle completo se cierra en menos de 2 segundos — y no se añade ninguna latencia al tráfico legítimo.

Tipos de ataque detectados y mitigados:

Amplificación UDP SYN Flood TCP RST Flood ICMP Flood Flood de consultas DNS Amplificación NTP Reflexión Memcached Saturación volumétrica del ancho de banda Ataque de paquetes fragmentados

Integración FastNetMon — Motor de detección DDoS de producción

FastNetMon Advanced es un sistema de detección DDoS de nivel productivo utilizado por cientos de ISPs y proveedores de hosting en todo el mundo. Consume sFlow, NetFlow v5/v9, IPFIX y tráfico port-mirror desde OcNOS, y desencadena acciones automáticas de mitigación con umbrales configurables por host y por subred.

BGP Flowspec (RFC 5575) — Filtrado quirúrgico del tráfico

Empareje y filtre tráfico de ataque por IP de origen/destino, protocolo, puerto, longitud de paquete, flags TCP, DSCP y tipo de fragmento. Las reglas se envían por BGP y se instalan en hardware ASIC en milisegundos: filtrado a tasa de línea sin sobrecarga de CPU. Descarte, limite o redirija el tráfico coincidente.

RTBH Blackholing — Protección rápida y contundente

Blackholing basado en BGP para grandes ataques volumétricos. Activado por el cliente o automáticamente vía FastNetMon cuando el tráfico hacia un prefijo supera un umbral. Las rutas RTBH se propagan a los peers upstream y proveedores de tránsito, deteniendo el tráfico de ataque antes de que entre en su red.

Telemetría sFlow y NetFlow — Visibilidad continua del tráfico

OcNOS exporta sFlow (RFC 3176), NetFlow v5/v9 e IPFIX desde todas las interfaces edge — muestreo acelerado por hardware con tasas de muestreo configurables. Alimenta a FastNetMon para detección de DDoS y, simultáneamente, a Kentik, PRTG, Prometheus o cualquier flow collector para analítica de tráfico.

Filtrado ACL por hardware — Estático, bloqueo sin CPU

Listas de control de acceso aceleradas por ASIC para bloquear permanentemente actores maliciosos conocidos: IPs, subredes, protocolos o puertos específicos. Limitación de tasa por interfaz, VLAN o prefijo. Configurado una vez y aplicado en hardware de forma permanente, sin sobrecarga de enrutamiento ni procesamiento.

FastNetMon → OcNOS — respuesta automatizada ALERTA
1 — FastNetMon detecta la anomalía vía sFlow
ALERTA UDP flood → 203.0.113.50
14 Gbps — umbral de 5 Gbps superado
2 — FastNetMon envía BGP Flowspec a OcNOS
POST /api/flowspec/rule
match: dst 203.0.113.50/32 proto UDP
action: rate-limit 100Mbps
→ regla instalada en ASIC: 0,8 s
3 — OcNOS aplica al ritmo de línea en hardware
Reglas Flowspec activas 14
Descartado (ataque) 2.4M pps
Limitado por tasa 180K pps
✓ tráfico limpio pasa con normalidad

FastNetMon — el motor de detección

FastNetMon Advanced es un motor dedicado de detección de DDoS utilizado por cientos de ISPs en todo el mundo. Se integra de forma nativa con OcNOS a través de BGP Flowspec y RTBH. Soporta sFlow, NetFlow e IPFIX con umbrales configurables por host, subred y protocolo.

Más sobre FastNetMon →
<2s
Bucle detección-mitigación — desde la anomalía sFlow hasta la regla Flowspec en el hardware
0ms
Sin latencia añadida al tráfico legítimo — el filtrado es in-line en el ASIC, no en un scrubber off-path
0%
Sobrecarga de CPU para la aplicación de ACL hardware y Flowspec — acelerada por ASIC
600+Despliegues de operadores
60+Países
26Años en redes
Arquitectura de referencia

In-network DDoS detection and mitigation — full topology

A complete picture of where each protection layer sits. Attack traffic from the internet hits the OcNOS edge routers, where sFlow telemetry continuously feeds FastNetMon. When FastNetMon detects an anomaly, it pushes BGP Flowspec or RTBH back to the edge — installed in ASIC hardware in milliseconds. Upstream peers can also receive RTBH announcements to drop attack traffic before it reaches your network.

In-network DDoS protection topology with OcNOS edge and FastNetMon Attack traffic from botnet sources transits an upstream peer to two OcNOS-SP edge routers. The edge routers export sFlow and NetFlow telemetry to a FastNetMon detection engine. When an attack is detected, FastNetMon pushes BGP Flowspec or RTBH routes back to the edge routers via BGP, installing rules in the ASIC for line-rate filtering. Clean traffic continues to the protected customer or data center network. The upstream peer can also receive RTBH announcements over BGP to drop attack traffic before it ingresses the protected network. Attackers distributed botnet 10–100 Gbps Customers legitimate traffic HTTP/DNS/SSH Transit Peer eBGP / RTBH recv Tier-1 Internet RTBH /32 drops OcNOS Edge-01 UfiSpace S9600-72XC Qumran-AX · 4.8 Tbps ASIC HARDWARE Flowspec + ACL drop line-rate · 0% CPU OcNOS Edge-02 UfiSpace S9600-72XC ECMP redundant ASIC Flowspec + ACL attack + clean FastNetMon Detection Engine sFlow + NetFlow analysis < 1s threshold detect sFlow ↑ BGP Flowspec ↓ + RTBH RTBH propagated upstream over eBGP → Protected Servers DC / hosted infra clean traffic only · 0ms added Customer Networks per-tenant policy managed DDoS service clean ✓ attack drop DETECT-TO-MITIGATE LOOP 1. Anomaly detected FastNetMon: <1s 2. BGP Flowspec push FNM → OcNOS: ~200ms 3. ASIC rule installed OcNOS hardware: ~800ms 4. Attack dropped at line rate total loop: <2s · 0ms clean-traffic latency
Attack traffic
Clean traffic
sFlow / NetFlow telemetry
BGP Flowspec / RTBH (control plane)
↳ hover any node for platform, ASIC, BGP, and policy detail
Cómo funciona

De la detección de ataque al bloqueo del tráfico — cuatro pasos

El ciclo completo de detección-mitigación está automatizado. Una vez configurado, no se requiere intervención humana para detener un ataque.

1

Recopilar

OcNOS exporta telemetría sFlow y NetFlow desde todas las interfaces edge hacia FastNetMon. Muestreo de paquetes acelerado por hardware: sin sobrecarga de CPU ni impacto en el rendimiento de forwarding.

2

Detectar

FastNetMon analiza los datos de flujo frente a umbrales por host y por subred. Identifica floods volumétricos, SYN storms, amplificación UDP, floods DNS y ataques por reflexión NTP, normalmente en menos de 1 segundo.

3

Señal

FastNetMon envía automáticamente a OcNOS por BGP reglas BGP Flowspec (para mitigación quirúrgica) o rutas RTBH blackhole (para ataques volumétricos). Totalmente automatizado: sin acción del operador durante el ataque.

4

Mitigar

OcNOS instala reglas Flowspec o rutas RTBH directamente en el hardware del ASIC. El tráfico de ataque se descarta o se limita a velocidad de línea completa. El tráfico legítimo continúa sin verse afectado. Las reglas se retiran automáticamente cuando el ataque cesa.

Casos de uso

Dónde encaja la protección DDoS con OcNOS

La protección DDoS de OcNOS funciona para cualquier operador con hardware abierto en el borde de la red, desde pequeños ISPs hasta grandes operadores de data center.

🌐

Protección de edge ISP y SP

Proteja los edges de peering y los enlaces de tránsito frente a DDoS volumétricos que saturarían el ancho de banda hacia clientes. La detección sFlow en el router de peering con mitigación automática BGP Flowspec detiene los floods antes de que lleguen a los clientes downstream. La coordinación upstream RTBH con los proveedores de tránsito detiene los ataques antes de que entren en su red.

🏢

Perímetro del centro de datos

Filtrado DDoS in-line en el borde del DC, protegiendo la infraestructura hospedada y las cargas cloud. Las ACL estáticas en hardware bloquean a los actores maliciosos conocidos de forma permanente. Las reglas Flowspec dinámicas se adaptan a nuevas firmas de ataque en tiempo real. Sin desvío de tráfico a un centro de scrubbing: cero impacto de latencia para el tráfico legítimo.

🛡️

Servicio gestionado de protección DDoS

Los operadores pueden ofrecer protección DDoS por cliente como servicio gestionado, facturando por prefijo protegido. FastNetMon admite perfiles de umbral por cliente. OcNOS aplica reglas Flowspec por cliente. Sin infraestructura de scrubbing compartida: la protección de cada cliente es dedicada y dentro de la red.

Preguntas frecuentes

Protección DDoS con OcNOS — FAQ

¿Qué es BGP Flowspec y cómo lo utiliza OcNOS para la mitigación de DDoS?
BGP Flowspec (RFC 5575) is a BGP extension that distributes granular traffic filtering rules across routers — similar to pushing ACLs via BGP, but with more granular match conditions. OcNOS supports Flowspec matching by source IP, destination IP, protocol, source/destination port, packet length, TCP flags, DSCP, and IP fragment type. When FastNetMon detects an attack, it pushes Flowspec rules to OcNOS via BGP in milliseconds. OcNOS installs these rules directly in the ASIC hardware, where they drop or rate-limit matching traffic at full line rate — with zero CPU overhead.
¿Cómo se integra FastNetMon con OcNOS y qué tan rápido responde?
FastNetMon receives sFlow, NetFlow v5/v9, or IPFIX telemetry from OcNOS interfaces and continuously analyzes traffic against configurable per-host and per-subnet thresholds. When an anomaly exceeds the threshold — for example, a UDP flood exceeding 5 Gbps to a single destination — FastNetMon automatically triggers either a BGP Flowspec rule (for surgical, protocol-specific mitigation) or an RTBH blackhole route (for full prefix blackholing) via BGP to OcNOS. The detect-to-mitigate loop is automated and typically completes in under 2 seconds.
¿Qué tipos de ataques DDoS detecta y mitiga esta solución?
FastNetMon with OcNOS detects and mitigates the most common DDoS attack types: volumetric floods (UDP amplification, ICMP flood, raw bandwidth saturation), protocol attacks (SYN flood, TCP RST flood, fragmented packet attacks), and application-layer attacks detectable by flow analysis (DNS query floods, NTP amplification, Memcached amplification). BGP Flowspec can match on protocol, port, TCP flags, and fragment type for precise surgical mitigation. For volumetric attacks where precision is less important than speed, RTBH blackholing drops all traffic to the targeted prefix at the network edge.
¿Puede OcNOS realizar mitigación DDoS sin FastNetMon?
Yes. OcNOS provides three independent DDoS mitigation mechanisms that work without FastNetMon: static hardware ACLs (ASIC-accelerated, zero CPU overhead) for permanent blocking of known bad actors; manual RTBH blackholing via BGP for operator-triggered prefix blackholing; and reception of BGP Flowspec rules from any standard BGP speaker. Operators with existing detection platforms — Arbor/Netscout, A10 Networks, Cloudflare Magic Transit, or Kentik — can use OcNOS as the enforcement plane, receiving Flowspec or RTBH commands from their existing detection system.
¿Qué es el blackholing RTBH y cuándo conviene usarlo en lugar de Flowspec?
RTBH (Remotely Triggered Black Hole) blackholing works by advertising the targeted destination prefix via BGP with a next-hop pointing to a discard interface. All upstream routers that receive the RTBH advertisement will drop all traffic destined for that prefix at their edge — stopping attack traffic before it enters your network. RTBH is the right choice for high-volume volumetric attacks where stopping all traffic to a destination (including legitimate traffic) is acceptable to protect the rest of the network. BGP Flowspec is preferable when you need surgical mitigation — for example, blocking only UDP port 53 to a destination while allowing TCP traffic through. In practice, operators often start with RTBH for speed and switch to Flowspec for precision once the attack is characterized.
¿La mitigación de DDoS dentro de la red con OcNOS reemplaza a un scrubbing center?
In-network mitigation complements or partially replaces scrubbing centers depending on the attack type and scale. For volumetric attacks targeting your own prefixes, OcNOS with FastNetMon provides faster response (sub-2-second) at lower cost than routing traffic through a scrubbing center — because the filtering happens in-line at the network edge in hardware ASICs. For very large attacks that saturate upstream links before reaching your routers, upstream RTBH with your transit providers combined with in-network Flowspec is the most effective approach. Managed DDoS service providers can also use OcNOS as the per-customer enforcement plane for per-customer Flowspec rules and thresholds.
Análisis profundo

Documentación y guías de despliegue.

Brief técnico y guía de despliegue para la protección DDoS automatizada en OcNOS con FastNetMon.

Resumen de solución · PDF

Defensa DDoS automatizada y asequible

OcNOS + FastNetMon: de la detección a la mitigación en segundos con Flowspec y RTBH — la misma arquitectura que utilizan los Tier-1, a una fracción del coste.

Descargar → Application Note · PDF · Gated

Despliegue automatizado de mitigación DDoS

Configuración paso a paso de BGP Flowspec y RTBH en OcNOS con integración de FastNetMon: referencia lista para desplegar.

Descargar →
Protégete

Proteja su red sobre hardware abierto.

Hable con nuestros especialistas de seguridad y redes. Revisaremos su topología, su modelo de amenazas y la configuración Flowspec y RTBH adecuada para su entorno.

Reservar demo DDoS Descargar la VM OcNOS