Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
4.618 lecturas y 50 respuestas
  • Portada el

    Comunicado sobre ataque DOS a OVH (Agosto de 2016)

    Comunicado sobre el ataque DOS a OVH:

    OVH.es - Innovation is Freedom

    Estimados/as clientes:

    En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.

    Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).

    No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España <> AS12956 Telefonica International <> AS16276 OVH.

    Nuestros enlaces de conexión con AS12956 son los siguientes:
    • 30G + 20G en Madrid
    • 40G en París
    • 20G en Ashburn, VA
    • 20G en Miami, FL

    Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.

    En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.

    Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit <> AS3352 Telefónica de España <> AS12956 Telefonica International <> AS5511 OpenTransit <> AS16276 OVH.

    Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.

    El tráfico nos llega ahora por Level3 AS3356 <> AS3352 Telefónica de España <> AS12956 Telefonica International <> AS3356 Level3 <> AS16276 OVH.

    Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS sin saturar los enlaces entre los operadores.

    Seguimos trabajando para solucionar el problema. Estamos en contacto con AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina el DoS. También modificamos nuestras respectivas configuraciones para permitir que el DoS pase entre AS12956 y AS16276.

    No podemos ofreceros más detalles, ya que esta intervención será leída por los hackers que han realizado el DoS y utilizarán esta información para saltarse las medidas que implementemos. Esta es también la razón por la que no hemos creado hasta ahora la tarea en Travaux. En los casos de (D)DoS, cuantos menos datos demos, menos incentivamos a los hackers y mejor gestionamos los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes españoles, debíamos informaros sobre el origen del problema.

    Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces. En las próximas horas veremos si aguanta. En cualquier caso, estamos manteniendo conversaciones con Telefonica International para aumentar las capacidades con su red. También vamos a instalar un nuevo router en Madrid antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G, OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent. Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en París de 200G y Ashburn, VA, de 200G.

    Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más la protección que ofrecemos a nuestros clientes por defecto en nuestros servicios.

    Sentimos sinceramente los inconvenientes generados para los visitantes procedentes de Telefónica de España.

    gsw.smokeping.ovh.net/smokeping?&target=EU.AS3352

    Cordialmente,

    Octave

    1
    • BocaDePez BocaDePez
      6

      En este País seguimos pensando que lo de aquí es lo malo y lo…

      En este País seguimos pensando que lo de aquí es lo malo y lo de fuera lo mejor. Yo conozco a OVH desde que empezaron y aunque hoy en día es un coloso son lo peor de lo peor, habría que saber bien o esperar un comunicado de movistar de lo que pasa, cosas como estas pasaron hace años y todo era a consecuencia del peering entre ambas, no se puede pasar por las líneas de Movistar a tu antojo gratis, hay que pagar y si te comes los tráficos que pagas por usar las muchas líneas ópticas de Movistar en España, pues paga más o te corto el grifo... Si la gente contratase en España con empresas en España con CPDs en España en vez de a estos Franceses que solo montan infra en Francia "su querido país", no les estaría pasando esto, LO BARATO SALE CARO. Que inviertan en España y tengan las cosas como es debido en vez de tanto enlace de palo hacia su país... A ver, si el problema está en que están atacando a un cliente de ellos alojado en Canadá, os aseguro que si el problema se soluciona cerrando el servidor de ese cliente lo hacen al minuto 2, menudos son estos, leed foros y lo veréis... así pues pienso que no dicen la verdad, como siempre en estos de OVH. Aquí se aplicaria muy bien el dicho de que no hay más ciego que el que no quiere ver.

      • Claro, contrato en España un VPS como el que tengo en OVH,…

        Claro, contrato en España un VPS como el que tengo en OVH, por 3 euros y medio al mes que en España me saldría por 23 euros al mes.

        Entre eso y que hablas de "suposiciones" (Un CPD español con una ISP pueden tener perfectamente el mismo caudal que tiene asignado Movistar <> OVH y puede sufrir el mismo ataque que también le pasaría lo mismo, estando en Alemania que estando en Soria), no pago 20 euros de más por "suposiciones" ni para que se me infle el orgullo patriota.

        Si, fuera del país en el aspecto de infraestructura de servidores, nos llevan con años de ventaja. Compara precios y planes de estrategia, que te echas a llorar.

        • Ya ni te cuento si te pones a comparar servidores dedicados…

          Ya ni te cuento si te pones a comparar servidores dedicados ... sin ganas de hacer publicidad ... OVH es de los pocos en los que puedes contratar un pedazo de bicho-server con 64GB de RAM y 8TB de disco, con 1Gb de caudal, pedir que te instalen el vSphere 5.5 y no pagar ni 100€/mes, eso mismo en 'conocidos' hostings patrios, no baja de los 400€/mes ni fuamo.

          Que tampoco sé como les cuadran las cifras a OVH ... en algún lado estará el truco ... pero comercialmente se venden bastante bien.

              • 6
                Parece que olvidas que cambiar de servidor (incluso dentro de…

                Parece que olvidas que cambiar de servidor (incluso dentro de un mismo proveedor) es una pesadilla.

                Yo, por razón de haber perdido algún cliente importante, he pasado de tener un servidor dedicado a tener un plan de hosting, y retrasé la operación un montón de meses porque el trabajo que supone es bestial, y la posibilidad de problemas más el downtime son una pesadilla. Y eso que el ahorro económico mensual es bestial...

                • Será una pesadilla si el plan de despliegue está hecho con la…

                  Será una pesadilla si el plan de despliegue está hecho con la parte del cuerpo sobre la que te sientas.

                  Hoy en día, con tecnologías como ansible, puppet, chef, etc ... hacer un cambio de proveedor es una soberana chorrada y los clientes ni se enteran.

                  Puedes hacer el despliegue del proyecto en un nuevo servidor en cuestión de minutos, luego sino tienes un balanceador, pues haces que las apps o el site del server viejo, apunte la DB al nuevo ... haces el cambio en el DNS ... y en cuanto no ves tráfico en el viejo, lo tumbas y listo. Los usuarios ni se enteran.

              • BocaDePez BocaDePez
                6
                Los conocerás tú con ese nombre, el público que no está…

                Los conocerás tú con ese nombre, el público que no está enterado sólo tiene una definición de hacker, y es la que escucha en las noticias de Antena 3.

                Puede ser incorrecto bajo tu propia definición, pero la definición de las palabras se elige según lo que entienda la mayoría.

                • Sí, claro, preguntar a la mayoría sobre conceptos técnicos…

                  Sí, claro, preguntar a la mayoría sobre conceptos técnicos que no entiende. ¿También lo hacemos con jerga de arquitectura, de medicina o de física? "Efecto Coriolis: eso que hace que el agua del desagüe gire en un sentido o en otro".

              • 17
                Buscar la definición de un término específico del mundo…

                Buscar la definición de un término específico del mundo informático de origen inglés, utilizado casi a modo de jerga (a parte de por niños de 14-17 años cuando se creen "jakers" por hacer tonterías) usando la definición que dices, para la RAE, es imposible. Un hacker es aquel que hace uso de sus habilidades a aquellos que no dañan, sino que tienen la habilidad. La acepción principal es positiva, pero puede ser negativa, claro.

                En el caso de los de este DoS yo diría que son crackers, hackers de sombrero negro, o gilip*.

                PD: Absurda la definición de la RAE. Hacker = Pirata informático, y pirata informático = Persona que accedeilegalmente a sistemas informáticosajenos para apropiárselos u obtenerinformación secreta. Increíble.

                Me gusta más la definición de dictionary.com

                Es antiguo, pero útil como recurso en español para el que se quiera aclarar los conceptos: www.microsiervos.com/archivo/internet/ha … cracker.html

                Cuanto daño han hecho los juegos y pelis/series... No es la primera vez que oigo a un crío o a alguien adulto (quiero ser hacker! ; Yo soy hacker (tras meterse en un wifi sencillo por WPS siguiendo un tutorial de YouTube, etc...).

            • 16
              Es probable. Se hospeda en OVH, en Canadá (donde se ubica el…

              Es probable. Se hospeda en OVH, en Canadá (donde se ubica el ataque), y es un servicio de torrent/descarga de peliculas/series sobre todo de uso en España. Y el ataque se realiza desde España. Blanco y en botella. No hay nada seguro ni pruebas, pero suena probable.

                • [Editado 7/09/16 00:03]

                  16
                  Que sean "dignos" de un ataque de esta envergadura y…

                  Que sean "dignos" de un ataque de esta envergadura y dedicación? No se me ocurre ninguno a parte de pordede, sitio que tiene muchos más enemigos que la web de un negocio de Cuenca o el servidor TeamSpeak de algunos jugadores de Call of Duty.

                  El ataque está dirigido desde una red española por parte de un equipo español, es lo más probable. Y lo más probable es que se dirija a la mayor web de visionado pirata de películas/series de España. Blanco y en botella probablemente.

                  Además, he hablado de "probable", el léxico es importante reconocerlo. 😋

                  PD: Pordede ya ha sido otras veces blanco de DDoS, mismamente hace 1 año aprox., sin muchos resultados. En aquel mes, justo en los mismos días, también "cayeron" otras webs similares pero menos conocidas como seriesflv etc., todas por el mismo ataque.

                  Hubo mucha teoría: que si era alguna Major (Movistar, algún medio, incluso la HBO nombró algún insensato, por la filtración de Game of Thrones en Pordede), que si eran usuarios aburridos, o... En fin, lo seguro es que no se sabe ni se sabrá quién está detrás.

                  Lo que si se sabe es que quienes están detrás sabían lo que hacían tanto el año pasado como este, y que posiblemente el objetivo sea Pordede en este caso.

                  PD2: Si Nemesys, osea, Movistar, fuese inteligente, tiene en su mano no sólo haber arreglado el error más rápido y ágilmente, sino que podría dar con pistas sobre los malhechores, pero se pasará página del tema y aquí no ha pasado nada.

                  • BocaDePez BocaDePez
                    6
                    lo que resulta sorprendente es que Timofónica no haya movido…

                    lo que resulta sorprendente es que Timofónica no haya movido un dedo por parar el ataque desde su red... raro, raro.

    • Justo el sábado entre las 16h y las 18h, OVH estaba out para…

      Justo el sábado entre las 16h y las 18h, OVH estaba out para los clientes de Movistar. Me mareó un cliente porque no tenia servicio e investigando, vi que efectivamente el cliente no tenia conectividad con ninguna IP del AS de OVH desde Movistar (No lo tenia yo desde el 4G de Pepephone pero si lo tenia desde la red de mi casa (Jazztel) accediendo por la VPN), con lo que claramente, era un problema entre dichos AS. Lo que me parecía raro es que en el Travaux no se reflejara dicho incidente y en este correo han dado todas las explicaciones que me esperaba, con lo que estoy satisfecho.

      La gracia fue que dicho cliente llamó al 1002 y los 3 operadores con los que le tocó, echaron los balones fuera. Que si funciona bien, que si era problema de OVH, que si tenia que abrir puertos (¿?), etc etc. Telefónica de España en su salsa, desinformando al cliente y comernos nosotros el marrón.

      Me hace gracia que Nemesys no actue rápido para estas cosas que supone un problema muy gordo para el caudal de la red RIMA pero sí para identificar a los clientes que piratean la señal de Movistar TV ( bandaancha.eu/articulos/movistar-monitor … ifunden-9513)

      • BocaDePez BocaDePez
        6

        Telefónica de España en su salsa, desinformando al cliente y…

        Telefónica de España en su salsa, desinformando al cliente y comernos nosotros el marrón.

        ¿Y qué esperas que te conteste un tío del 1002?

        Me hace gracia que Nemesys no actue rápido para estas cosas que supone un problema muy gordo para el caudal de la red RIMA pero sí para identificar a los clientes que piratean la señal de Movistar TV

        O igual sí estaban actuando pero esas cosas no se pueden arreglar tan rápido. Igual si no trabajaran OVH seguiría caído para Telefónica. ¿No?

        • Lo del 1002 está claro que no te lo van a resolver, por eso…

          Lo del 1002 está claro que no te lo van a resolver, por eso me hizo gracia que el cliente haya contactado con ellos.

          OVH lo único que ha hecho es modificar los BGP para mandar todo el tráfico del AS3352 de Telefónica de España por otro lugar donde tienen más caudal que la que genera el ataque.

          • Hasta que se dieron cuenta, de que el peering de AS3352 en…

            Hasta que se dieron cuenta, de que el peering de AS3352 en tránsito hasta ese otro punto, tampoco tenía capacidad ... ;)

            Los DDoS o los DoS, no se 'mitigan', desviando el tráfico por otros peering points ... se mitigan no dejando entrar el tráfico, creando una blackhole-route, hablando con el AS generador del tráfico, o con los AS de trásito, para que lo limiten.

            Pero eso de desviarlo a otro peering point ... es como aquél que se le está inundando el baño, porque se ha taponado un sumidero ... y en vez de cerrar la llave de paso, enchufa una mangera y va de desagüe en desagüe de la casa ... hasta que los rebosa todos ... XDD

            • Claro pero si Movistar no mueve el culo y no puedes…

              Claro pero si Movistar no mueve el culo y no puedes desconectarlo que haces? Ellos han intentado restablecer el servicio lo antes posible, si podían permitirse cambiar las rutas y "tragarse" todo el DoS pues genial.

              En cualquier caso hay que mirar la parte positiva, se van a ampliar todos los enlaces antes de lo previsto a raiz de esto.

              • Como ya he dicho, 'tragase' el tráfico, no es ninguna táctica…

                Como ya he dicho, 'tragase' el tráfico, no es ninguna táctica de mitigación. Podrían fácilmente haber revisado el patrón de tráfico común de ese cliente en Canada y sino recibía tráfico desde el AS de Movistar de forma habitual, haber creado una blackhole-route para eso, así el tráfico se queda en los border routers y no llega al enlace.

                O hacer un DROP de ese tráfico en los cortafuegos. No elimina el ataque, pero dependiendo de la naturaleza de este ... lo puede llegar a mitigar bastante.

                La parte positiva, es muy positiva ... pero la solución de 'ante la duda, la más tetuda' ... es solo un parche temporal. Mañana en vez de un DoS dirigido, es un DDoS general contra el AS ... y te cuento yo un chiste de lo que les vale andar 'desviando tráfico a un peering con más capacidad'

                • Pero has leído su mensaje? Ellos reconocen que el ataque era…

                  Pero has leído su mensaje? Ellos reconocen que el ataque era básico pero la red de Movistar se caía antes de poder tratarlo. Sigo pensando que tomaron la decisión más lógica. Vamos a pasarlo por un canuto que soportemos el tráfico y vemos como lo tratamos.

                  • La red de movistar ni se inmutaba, lo que se caía era el…

                    La red de movistar ni se inmutaba, lo que se caía era el enlace OVH <-> Movistar ... y no es que se cayera, es que se llenaba y seguramente el 98% de ese tráfico era del ataque, por lo que el tráfico 'bueno' se 'perdía'.

                    La forma correcta de mitigar ese ataque, empieza por meter un QoS restrictivo en los border router HACIA las IP's que están siendo atacadas, así evitas saturar el enlace, ya que los própios mecanismos de TCP/IP se encargan de 'rebajar' los flujos.

                    Luego puede examinar el tráfico con más detenimiento y optar por una o varias de las estratégias mencionadas, blackhole-route, firewalling, etc.

                    Mientras te pones en contacto con el ABUSE o el NOC del AS origen, para que cierre el tráfico de la botnet y tome las medidas pertinentes.

                    Te pongo un símil que es muy fácil de entender, se revienta una cañería de agua en tu edificio y se te está inundando el piso por la ventana del patio ... ¿que haces? ... ¿vas y abres la ventana de el salón, que es más grande, para que entre el agua por ahí, mientras piensas que haces?, nó ... cierras esas ventanas, algo de agua te entrará ... pero de forma más controlada (QoS), mientras vas a llamar al portero, para que corte el suministro.

                    Pues en redes es igual, al fin y al cabo, se usan los mismos algoritmos en cualquier tipo de red (de abasto, de alcantarillado, de gas, eléctrica) ...

                    • La red de movistar ni se inmutaba, lo que se caía era el…

                      La red de movistar ni se inmutaba, lo que se caía era el enlace OVH <-> Movistar ... y no es que se cayera, es que se llenaba y seguramente el 98% de ese tráfico era del ataque, por lo que el tráfico 'bueno' se 'perdía'.

                      No sé que clase de control tienen desde redes en Telefónica de España, ni siquiera sé cuanto caudal medio se pasea por ese enlace, pero si de repente tienes un 98% de tráfico basura en ese enlace cuando no es lo normal, lo raro es que no salten las alarmas.

                      • Todo depende de como configures el NMS, lo suyo es que se…

                        Todo depende de como configures el NMS, lo suyo es que se tenga en cuenta el histórico de un enlace, para lanzar una alarma cuando se supera cierto 'umbral' por encima del histórico en una franja horaria, o incluso para que corte el enlace si se detectan ciertos patrones.

                        Pero eso ya es tema de gestión interna, monitorización, etc.

                      • BocaDePez BocaDePez
                        6
                        Obviamente saltaron las alarmas, por eso se pusieron a…

                        Obviamente saltaron las alarmas, por eso se pusieron a trabajar.

                        Esto de presuponer que una gente trabaja mal porque están contratados por una empresa que no nos gusta es bastante tonto.

                          • por aquí anda un hombre muy muy competente que curró hace…

                            por aquí anda un hombre muy muy competente que curró hace mucho años en Telefonica ...

                            Lo despidieron hace años..

                            Y así va Movistar..... Ha despedido la gente buena, y ahora va a lo barato.

                            LLevo dos oficinas con Movistar fibra empresas, y todo son problemas...

                          • O lo mueven a 'velocidad telefónica' ... osea ... no les…

                            O lo mueven a 'velocidad telefónica' ... osea ... no les afecta en algo por lo que cobren ... o les cobren a ellos ... así que les importa una mierda.

                    • Ese simil está muy bien hasta que te acercas a la ventana que…

                      Ese simil está muy bien hasta que te acercas a la ventana que da al patio y ves que no la puedes cerrar por la presión de toda el agua que entra. No dudo que lo que dices tiene lógica, pero si el punto que interconecta movistar con ovh está tan saturado que no se puede gestionar, solo lo puedes descongestionar pasandolo por otro canuto más grande, vuelves a dar servicio y luego toma las medidas que quieras en el enlace principal (que ya se puede gestionar de nuevo) y luego puedes a volver a pasar el tráfico por el camino original.

                      • Poco creible que no puedas acceder a la gestión de un router…

                        Poco creible que no puedas acceder a la gestión de un router porque tenga un enlace saturado, los netadmins de 'verdad', no hacen esas cosas ... ;)

                        Todo border router, tiene como mínimo 2 enlaces, uno hacia el carrier y otro hacia la 'red interna' ... y no me creo que el enlace a la red interna estuviera saturado.

                        Por lo que han explicado en la carta, y mucho han explicado, la mayoría de los ISP no te dicen ni media sobre que han tenido esos problemas. Suena más a que querían analizar el tráfico ... pero para analizar el tráfico, no necesitas TODO el tráfico ... solo una 'muestra'.

                        Hay algo, en esta historia que no han contado (obviamente).

                        • BocaDePez BocaDePez
                          6
                          Lo que está claro es que el flujo de aguas fecales salía del…

                          Lo que está claro es que el flujo de aguas fecales salía del desagüe de Rimosfonica y durante 3 días, literalmente, se la pelo. Les importaba un pito que sus clientes no tuviesen acceso al 3er hosting de Internet. Y muentras este con un queme de la hostia. Muy poco profesional.

      • Hombre ... llamar al 1002 y pretender que tengan ni puta idea…

        Hombre ... llamar al 1002 y pretender que tengan ni puta idea de routing, peering, etc. ... :-P ... la próxima que llamen a la cajera del super y le pidan que les opere de un aneurisma cerebral ... que a lo mejor tienen mas suerte, visto el panorama de los licenciados de este país ... :-P

        En cuanto a Nemesys ... que OHV no funcione desde la red de Movistar, no les importa una mierda, eso no le genera ingresos 'directos' a Movistar ... pero la redistribución de la señal de TV si que les genera lucro-cesante 'directo' ... así que le ponen más asunto.

      • BocaDePez BocaDePez
        6

        es el internet de las cacas que empieza a atacar a los…

        es el internet de las cacas que empieza a atacar a los humanos

        skynet!

        señora le hemos cortado el internet porque su baby monitor esta atacando el pentagono! pongase en contacto con john connor inmediatamente

    • 16

      Justo acabo de recibirlo. Mi pregunta es, no puede actuar…

      Justo acabo de recibirlo. Mi pregunta es, no puede actuar "rápido" Telefónica de España en estos casos?

      En el comunicado dan a entender que el DoS lleva bastante tiempo en funcionamiento (supongo que 2-3 días), y que Telefónica International está en contacto con ellos y solicitando a Telefónica de España el apagado de la red de botnets.

      No entiendo la tardanza, reconozco que no tengo ni idea, pero no sería tan fácil para Telefónica como "pillar" las rutas de procedencia de los atacantes, y tomar medidas?

      Aunque claro, pensándolo mejor, entiendo que no sepan qué hacer en Telefónica: si se trata de una botnet, qué haces, cortarles la conexión a (ponte) 5.000 clientes inocentes? No sé cómo suelen solucionar estás cosas de botnets...

      Alguien que sepa, sería de gran ayuda para aprender algo del tema.

      Gracias

      • Aunque claro, pensándolo mejor, entiendo que no sepan qué…

        Aunque claro, pensándolo mejor, entiendo que no sepan qué hacer en Telefónica: si se trata de una botnet, qué haces, cortarles la conexión a (ponte) 5.000 clientes inocentes? No sé cómo suelen solucionar estás cosas de botnets...

        Si esas conexiones están creando un perjuicio a la infraestructura, tienen que hacer algo, aunque se llegue al extremo de cortarles la red, obviamente previo aviso. Aunque si en Nemesys son muy listos, lo que harán es detectar los patrones de ataque y filtrarlos desde sus tripas, así el cliente no se queda al 100% sin conexión a Internet.