Infraestructura
Una arquitectura Anti-DDoS pensada para devolver tráfico limpio
Peeryx combina mitigación adaptativa, varios modelos de entrega y una lectura clara del camino de red para proteger lo existente sin convertirlo en una caja negra.
Mitigación adaptativa basada en tráfico real y restricciones de producción
Integración compatible con BGP, GRE, IPIP, VXLAN, cross-connect y router VM
Entrega de tráfico limpio según topología, latencia objetivo y nivel de control deseado
Arquitectura pensada para operadores, hosters, gaming, SaaS y servicios críticos
Infraestructura Peeryx
Una arquitectura anti-DDoS diseñada para absorber, filtrar y devolver tráfico limpio
La infraestructura de Peeryx está construida como una cadena completa: exposición de red, mitigación, decisiones de handoff, entrega de tráfico limpio y operación continua. El objetivo es proteger lo que ya funciona con un modelo legible, no imponer una caja negra.
- Visión clara del camino del tráfico desde el borde de Internet hasta producción
- Varios modelos de entrega según el nivel de control de red necesario
- Posicionamiento coherente para entornos ya en producción
- Explicación concreta de qué protege Peeryx y cómo
Blueprint de red Peeryx
Del tráfico expuesto al tráfico limpio
Un modelo legible: ingress protegido, mitigación, decisión de handoff y entrega limpia adaptada a su topología.
Ingress protegido
Mitigación dirigida
Tráfico limpio entregado
Capturar el ataque en el lugar adecuado
El objetivo es absorber el ataque antes de que degrade la producción, colocando la mitigación en el nivel correcto de exposición de red.
Alivio upstream cuando aporta valor
El filtrado upstream puede complementar la mitigación local cuando el volumen del ataque realmente lo exige, sin convertirse en la única respuesta a cada incidente.
Handoff limpio hacia producción
Cross-connect, túneles o router VM son opciones de integración. Peeryx los trata como herramientas de diseño, no como restricciones impuestas.
Operación legible para el cliente
El cliente debe poder entender qué entra, qué se filtra, qué vuelve y qué sigue bajo su propio control de red.
Capacidad de mitigación
15+ Tbps
Modos de entrega de tránsito
5
Capas de protección
L3 / L4 / L5 / L7
Prueba gratuita
24h
Principios de arquitectura
Una arquitectura anti-DDoS creíble también se juzga por cómo se opera
La capacidad bruta importa, pero no basta. Una plataforma seria también debe hacer comprensibles los puntos de entrada, el modelo de mitigación, el handoff y la forma en que el cliente sigue operando su red.
Visibilidad del camino del tráfico
El cliente debe entender por dónde entra el tráfico, dónde se filtra y cómo vuelve limpio a producción.
Alivio upstream cuando aporta valor
La lógica upstream debe ayudar con volúmenes extremos sin convertirse en la única respuesta ante cualquier patrón de ataque.
Handoff adaptado a la topología
Un buen diseño no impone el mismo esquema a todos los clientes: túnel, BGP, cross-connect, IPs protegidas o modelos híbridos.
Production-first
El papel del servicio es proteger lo que ya funciona, mantener la operación posible y evitar una dependencia opaca innecesaria.
Camino del tráfico
De la exposición pública al tráfico limpio: las etapas clave
La cadena de mitigación de Peeryx debe seguir siendo legible para un equipo técnico: punto de entrada, observación, filtrado, handoff y retorno a producción.
1. Exposición de red
Los prefijos se anuncian por BGP o los servicios se exponen mediante IPs protegidas según la velocidad de despliegue y el nivel de control requerido.
2. Observación del tráfico legítimo
El tráfico útil sirve de base para entender los patrones normales, reducir falsos positivos y tomar decisiones de mitigación más limpias.
3. Filtrado adaptativo
Las firmas de ataque se correlacionan con el comportamiento real del servicio para bloquear el ataque sin romper el uso legítimo.
4. Handoff y entrega
El tráfico limpio se devuelve mediante cross-connect, GRE, IPIP, VXLAN o router VM según el diseño elegido.
5. Operación continua
El modelo sigue siendo documentable y entendible: su equipo sabe qué está protegido, qué se devuelve y qué queda bajo control local.
Fabric de mitigación
El tráfico entra en una capa de mitigación diseñada para absorber ataques volumétricos y protocolarios, y después distinguir el tráfico legítimo antes de devolverlo a producción.
Delivery por datacenter o túnel
Según la topología, el tráfico limpio puede devolverse por cross-connect, GRE, IPIP, VXLAN o router VM para mantener un modelo de integración coherente con el entorno existente.
Modelo de interconexión
Peeryx encaja tanto en escenarios BGP completos como en arquitecturas donde la prioridad es proteger una producción ya desplegada sin reconstruir todo el edge.
Resiliencia operativa
Una arquitectura anti-DDoS seria no termina en el filtrado. También debe seguir siendo comprensible para la operación, preservar las decisiones de routing útiles y devolver el tráfico legítimo de forma limpia.
Arquitectura Anti-DDoS
Qué debe controlar una arquitectura Anti-DDoS creíble
Una infraestructura Anti-DDoS seria es más que cifras de capacidad. Debe controlar el ingress, la decisión de filtrado, la observabilidad y la entrega de tráfico limpio hasta la capa útil.
Capacidad de ingress y margen real
El diseño debe absorber ataques volumétricos y conservar margen operativo para señalización, devolución de tráfico limpio y estabilidad global.
Hot path de filtrado legible
La lógica de mitigación debe seguir siendo eficiente, predecible y compatible con políticas avanzadas sin convertir la operación en una caja negra.
Observabilidad después de la decisión
Una buena arquitectura separa el fast path de drop de la visibilidad necesaria para entender ataques, ajustar reglas y preparar escalado aguas arriba.
Camino limpio de vuelta al servicio
El tráfico legítimo debe volver a la capa correcta: servidor, proxy, clúster o backbone, con un handoff coherente con la producción.
Lo que Peeryx busca preservar en producción
Lo que Peeryx busca preservar en producción
Peeryx combina mitigación adaptativa, varios modelos de entrega y una lectura clara del camino de red para proteger lo existente sin convertirlo en una caja negra.
- Lectura clara del camino de red entre ingress, mitigación y entrega limpia
- Latencia estable y handoff coherente con el servicio realmente expuesto
- Separación limpia entre protección upstream, lógica custom y capa de aplicación
- Capacidad de escalar al upstream cuando el volumen requiere filtrado adicional
Blog
Guías técnicas y notas de arquitectura
Contenido pensado para compradores técnicos: modelos de entrega, protección de infraestructura ya en producción, latencia, routing asimétrico y criterios de elección antes de comprar.
¿Cómo mitigar un ataque DDoS de más de 100Gbps?
Enlace, PPS, CPU, alivio upstream y handoff limpio: el marco real de una mitigación 100Gbps creíble.
Leer el artículoTráfico limpio Anti-DDoS: por qué la entrega importa tanto como la mitigación
Muchos sitios hablan de capacidad de mitigación y muy pocos de la entrega de tráfico limpio. Sin embargo, un diseño Anti-DDoS creíble no termina en el scrubbing: el tráfico legítimo todavía debe volver correctamente al destino adecuado.
Leer el artículoPrefiltrado Anti-DDoS upstream: cuándo usarlo y por qué lo cambia todo
El prefiltrado anti ddos upstream no es una capa mágica. Bien usado, elimina pronto el ruido evidente, protege los enlaces y deja espacio a las capas inteligentes para seguir trabajando.
Leer el artículoServidor dedicado de filtrado Anti-DDoS: ¿cuándo es el mejor compromiso?
Un servidor dedicado de filtrado Anti-DDoS quita presión a producción, permite una lógica más fina y da mejor control sobre la entrega de tráfico limpio. No siempre es obligatorio, pero a menudo es el mejor equilibrio entre coste y flexibilidad.
Leer el artículoLatencia, asimetría y entrega de tráfico limpio
Por qué el camino del tráfico, la salida local y el modelo de entrega importan tanto como la capacidad de mitigación.
Leer el artículoGaming Anti-DDoS: por qué el filtrado genérico no siempre basta
El gaming no solo necesita absorber volumen. También necesita proteger la experiencia del jugador, reducir falsos positivos y tratar comportamientos de protocolo que no se parecen a un frontend web normal.
Leer el artículoFAQ de Peeryx
¿Tengo que migrar toda mi infraestructura para usar Peeryx?
No. Peeryx puede proteger infraestructura ya en producción mediante BGP, IPs protegidas, túneles, cross-connect o router VM según su topología.
¿Es compatible el routing asimétrico con esta arquitectura?
Sí. Peeryx puede recibir el tráfico de entrada mientras el egress local permanece en otro lugar si eso mejora latencia, coste u operación.
¿Es obligatorio el cross-connect?
No. Puede ser útil en ciertos entornos de datacenter, pero Peeryx también admite GRE, IPIP, VXLAN y router VM para preservar flexibilidad.
¿Por qué explicar la arquitectura con tanto detalle?
Porque una arquitectura legible reduce malentendidos, tranquiliza a los equipos técnicos y permite ver más rápido si Peeryx encaja de verdad con el entorno existente.
¿La infraestructura de Peeryx tiene que sustituir mi lógica de aplicación o mi filtrado custom?
No. Peeryx puede proteger la capa upstream y devolver tráfico limpio a su propia lógica de red o aplicación. El objetivo es reforzar la protección Anti-DDoS sin obligar a reemplazar toda la stack.
¿Por qué la observabilidad es importante en una arquitectura Anti-DDoS?
Porque una mitigación eficaz también debe seguir siendo operable. Saber qué se filtra, qué sigue pasando, cuándo escalar upstream y cómo ajustar políticas es clave a largo plazo.
Comparta su arquitectura y restricciones de red
Describa sus prefijos, conectividad, puntos de egress, latencia objetivo y la forma en que quiere recuperar el tráfico limpio. Volveremos con un diseño de integración creíble.