Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Comunicado sobre ataque DOS a OVH (Agosto de 2016)

heffeque
1

Comunicado sobre el ataque DOS a OVH:

OVH.es - Innovation is Freedom

Estimados/as clientes:

En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.

Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).

No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España <> AS12956 Telefonica International <> AS16276 OVH.

Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL

Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.

En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.

Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit <> AS3352 Telefónica de España <> AS12956 Telefonica International <> AS5511 OpenTransit <> AS16276 OVH.

Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.

El tráfico nos llega ahora por Level3 AS3356 <> AS3352 Telefónica de España <> AS12956 Telefonica International <> AS3356 Level3 <> AS16276 OVH.

Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS sin saturar los enlaces entre los operadores.

Seguimos trabajando para solucionar el problema. Estamos en contacto con AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina el DoS. También modificamos nuestras respectivas configuraciones para permitir que el DoS pase entre AS12956 y AS16276.

No podemos ofreceros más detalles, ya que esta intervención será leída por los hackers que han realizado el DoS y utilizarán esta información para saltarse las medidas que implementemos. Esta es también la razón por la que no hemos creado hasta ahora la tarea en Travaux. En los casos de (D)DoS, cuantos menos datos demos, menos incentivamos a los hackers y mejor gestionamos los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes españoles, debíamos informaros sobre el origen del problema.

Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces. En las próximas horas veremos si aguanta. En cualquier caso, estamos manteniendo conversaciones con Telefonica International para aumentar las capacidades con su red. También vamos a instalar un nuevo router en Madrid antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G, OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent. Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en París de 200G y Ashburn, VA, de 200G.

Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más la protección que ofrecemos a nuestros clientes por defecto en nuestros servicios.

Sentimos sinceramente los inconvenientes generados para los visitantes procedentes de Telefónica de España.

gsw.smokeping.ovh.net/smokeping?&target=EU.AS3352

Cordialmente,

Octave

Sokiev

Justo acabo de recibirlo. Mi pregunta es, no puede actuar "rápido" Telefónica de España en estos casos?

En el comunicado dan a entender que el DoS lleva bastante tiempo en funcionamiento (supongo que 2-3 días), y que Telefónica International está en contacto con ellos y solicitando a Telefónica de España el apagado de la red de botnets.

No entiendo la tardanza, reconozco que no tengo ni idea, pero no sería tan fácil para Telefónica como "pillar" las rutas de procedencia de los atacantes, y tomar medidas?

Aunque claro, pensándolo mejor, entiendo que no sepan qué hacer en Telefónica: si se trata de una botnet, qué haces, cortarles la conexión a (ponte) 5.000 clientes inocentes? No sé cómo suelen solucionar estás cosas de botnets...

Alguien que sepa, sería de gran ayuda para aprender algo del tema.

Gracias

🗨️ 4
pepejil
1

Aunque claro, pensándolo mejor, entiendo que no sepan qué hacer en Telefónica: si se trata de una botnet, qué haces, cortarles la conexión a (ponte) 5.000 clientes inocentes? No sé cómo suelen solucionar estás cosas de botnets...

Si esas conexiones están creando un perjuicio a la infraestructura, tienen que hacer algo, aunque se llegue al extremo de cortarles la red, obviamente previo aviso. Aunque si en Nemesys son muy listos, lo que harán es detectar los patrones de ataque y filtrarlos desde sus tripas, así el cliente no se queda al 100% sin conexión a Internet.

🗨️ 3
rbetancor

La ley permite la desconexión sin previo aviso, en caso de que afecte a la estabilidad de la red. Pero es que la red que se ha visto jodida, no ha sido la de Movistar, sino la de OVH ... ;)

En estos casos ... némesis suele 'filtrar' el tráfico 'ofensivo', a nivel provincial se dispone de equipos con esa capacidad.

🗨️ 2
BocaDePez
BocaDePez

Pues estarían fumando porque otra no se explica.

🗨️ 1
rbetancor
vukits

Me parece penoso que no haya sido Movistar la que no ha solucionado el problema

BocaDePez
BocaDePez

Según comentan por el foro de OVH se trata de una botnet de camaras IP

🗨️ 1
BocaDePez
BocaDePez

es el internet de las cacas que empieza a atacar a los humanos

skynet!

señora le hemos cortado el internet porque su baby monitor esta atacando el pentagono! pongase en contacto con john connor inmediatamente

pepejil

Justo el sábado entre las 16h y las 18h, OVH estaba out para los clientes de Movistar. Me mareó un cliente porque no tenia servicio e investigando, vi que efectivamente el cliente no tenia conectividad con ninguna IP del AS de OVH desde Movistar (No lo tenia yo desde el 4G de Pepephone pero si lo tenia desde la red de mi casa (Jazztel) accediendo por la VPN), con lo que claramente, era un problema entre dichos AS. Lo que me parecía raro es que en el Travaux no se reflejara dicho incidente y en este correo han dado todas las explicaciones que me esperaba, con lo que estoy satisfecho.

La gracia fue que dicho cliente llamó al 1002 y los 3 operadores con los que le tocó, echaron los balones fuera. Que si funciona bien, que si era problema de OVH, que si tenia que abrir puertos (¿?), etc etc. Telefónica de España en su salsa, desinformando al cliente y comernos nosotros el marrón.

Me hace gracia que Nemesys no actue rápido para estas cosas que supone un problema muy gordo para el caudal de la red RIMA pero sí para identificar a los clientes que piratean la señal de Movistar TV ( /articulos/movistar-monitoriza-clientes-…ifunden-9513)

🗨️ 18
rbetancor
1

Hombre ... llamar al 1002 y pretender que tengan ni puta idea de routing, peering, etc. ... :-P ... la próxima que llamen a la cajera del super y le pidan que les opere de un aneurisma cerebral ... que a lo mejor tienen mas suerte, visto el panorama de los licenciados de este país ... :-P

En cuanto a Nemesys ... que OHV no funcione desde la red de Movistar, no les importa una mierda, eso no le genera ingresos 'directos' a Movistar ... pero la redistribución de la señal de TV si que les genera lucro-cesante 'directo' ... así que le ponen más asunto.

BocaDePez
BocaDePez

Telefónica de España en su salsa, desinformando al cliente y comernos nosotros el marrón.

¿Y qué esperas que te conteste un tío del 1002?

Me hace gracia que Nemesys no actue rápido para estas cosas que supone un problema muy gordo para el caudal de la red RIMA pero sí para identificar a los clientes que piratean la señal de Movistar TV

O igual sí estaban actuando pero esas cosas no se pueden arreglar tan rápido. Igual si no trabajaran OVH seguiría caído para Telefónica. ¿No?

🗨️ 16
pepejil

Lo del 1002 está claro que no te lo van a resolver, por eso me hizo gracia que el cliente haya contactado con ellos.

OVH lo único que ha hecho es modificar los BGP para mandar todo el tráfico del AS3352 de Telefónica de España por otro lugar donde tienen más caudal que la que genera el ataque.

🗨️ 15
rbetancor

Hasta que se dieron cuenta, de que el peering de AS3352 en tránsito hasta ese otro punto, tampoco tenía capacidad ... ;)

Los DDoS o los DoS, no se 'mitigan', desviando el tráfico por otros peering points ... se mitigan no dejando entrar el tráfico, creando una blackhole-route, hablando con el AS generador del tráfico, o con los AS de trásito, para que lo limiten.

Pero eso de desviarlo a otro peering point ... es como aquél que se le está inundando el baño, porque se ha taponado un sumidero ... y en vez de cerrar la llave de paso, enchufa una mangera y va de desagüe en desagüe de la casa ... hasta que los rebosa todos ... XDD

🗨️ 14
campi
🗨️ 13
rbetancor
🗨️ 12
campi
🗨️ 11
rbetancor
🗨️ 10
campi
🗨️ 3
rbetancor
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
rbetancor
pepejil
🗨️ 5
BocaDePez
BocaDePez
🗨️ 3
pepejil
🗨️ 2
rbetancor
1
vukits
rbetancor
BocaDePez
BocaDePez

La pregunta es si querían atacar a OVH o a un cliente en concreto...

🗨️ 7
heffeque

La respuesta la tienes en el 2o párrafo ;-)

🗨️ 6
albertosapiens

Pordede.com (149.56.155.129)

🗨️ 5
BocaDePez
BocaDePez

¿Y eso de dónde te lo has sacado?

🗨️ 4
Sokiev
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
Sokiev
🗨️ 1
BocaDePez
BocaDePez
mceds

Delicuentes o criminales. Y, en este caso concreto, con la coletilla "gilipollas".

No "hackers", por favor.

🗨️ 7
mceds

La RAE sabe tanto de informática y redes como el internauta medio de ortografía.

🗨️ 5
BocaDePez
BocaDePez

Si me vas a decir "jeje es que en los 60 se llamaba hackers a los programadores", han pasado ya cincuenta años de eso.

🗨️ 4
mceds
🗨️ 3
Sokiev
BocaDePez
BocaDePez
🗨️ 1
mceds
BocaDePez
BocaDePez

En este País seguimos pensando que lo de aquí es lo malo y lo de fuera lo mejor. Yo conozco a OVH desde que empezaron y aunque hoy en día es un coloso son lo peor de lo peor, habría que saber bien o esperar un comunicado de movistar de lo que pasa, cosas como estas pasaron hace años y todo era a consecuencia del peering entre ambas, no se puede pasar por las líneas de Movistar a tu antojo gratis, hay que pagar y si te comes los tráficos que pagas por usar las muchas líneas ópticas de Movistar en España, pues paga más o te corto el grifo... Si la gente contratase en España con empresas en España con CPDs en España en vez de a estos Franceses que solo montan infra en Francia "su querido país", no les estaría pasando esto, LO BARATO SALE CARO. Que inviertan en España y tengan las cosas como es debido en vez de tanto enlace de palo hacia su país... A ver, si el problema está en que están atacando a un cliente de ellos alojado en Canadá, os aseguro que si el problema se soluciona cerrando el servidor de ese cliente lo hacen al minuto 2, menudos son estos, leed foros y lo veréis... así pues pienso que no dicen la verdad, como siempre en estos de OVH. Aquí se aplicaria muy bien el dicho de que no hay más ciego que el que no quiere ver.

🗨️ 6
pepejil

Claro, contrato en España un VPS como el que tengo en OVH, por 3 euros y medio al mes que en España me saldría por 23 euros al mes.

Entre eso y que hablas de "suposiciones" (Un CPD español con una ISP pueden tener perfectamente el mismo caudal que tiene asignado Movistar <> OVH y puede sufrir el mismo ataque que también le pasaría lo mismo, estando en Alemania que estando en Soria), no pago 20 euros de más por "suposiciones" ni para que se me infle el orgullo patriota.

Si, fuera del país en el aspecto de infraestructura de servidores, nos llevan con años de ventaja. Compara precios y planes de estrategia, que te echas a llorar.

🗨️ 5
rbetancor

Ya ni te cuento si te pones a comparar servidores dedicados ... sin ganas de hacer publicidad ... OVH es de los pocos en los que puedes contratar un pedazo de bicho-server con 64GB de RAM y 8TB de disco, con 1Gb de caudal, pedir que te instalen el vSphere 5.5 y no pagar ni 100€/mes, eso mismo en 'conocidos' hostings patrios, no baja de los 400€/mes ni fuamo.

Que tampoco sé como les cuadran las cifras a OVH ... en algún lado estará el truco ... pero comercialmente se venden bastante bien.

🗨️ 4
BocaDePez
BocaDePez

Es economía de escala y buscar un pequeño beneficio por cliente que compensa con muchos clientes.

El modelo patrio duele se, pocos clientes , pero bien sableados.

🗨️ 3
rbetancor
🗨️ 2
Spyd
🗨️ 1
rbetancor