Hola a todos,

En el servicio que ofrecemos a nuestros clientes incluimos la gestión de
ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para
ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos
desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos
recibido y mitigado con éxito ataques DDoS de 800 Gbps.

Desde hace varios días, estamos recibiendo un ataque procedente de una red
en concreto, la del operador histórico español: Telefónica. Este ataque está
dirigido a un cliente en particular que está alojado en nuestro centro de datos
de BHS (Canadá).

No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS
(Denial of Service), ya que no es distribuido: el ataque no procede de varios
lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica:
AS3352 Telefónica de España <> AS12956 Telefonica International <>
AS16276 OVH.

Nuestros enlaces de conexión con AS12956 son los siguientes:
  • 30G + 20G en Madrid
  • 40G en París
  • 20G en Ashburn, VA
  • 20G en Miami, FL

Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS
que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema
150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al
mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC
mitiga una parte del DDoS.

En este caso, los hackers utilizan específicamente la red de Telefónica de
España para enviar un ataque de gran envergadura. El tipo del DoS es muy
básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso
concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos
con Telefonica International se saturan antes.

Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar
otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511
OpenTransit <> AS3352 Telefónica de España <> AS12956 Telefonica
International <> AS5511 OpenTransit <> AS16276 OVH.

Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el
enlace que tenemos con OTI, causando que se vieran afectados otros ISP de
España, ya que utilizamos OTI para recibir el tráfico desde Orange España,
Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.

El tráfico nos llega ahora por Level3 AS3356 <> AS3352 Telefónica de España
<> AS12956 Telefonica International <> AS3356 Level3 <> AS16276 OVH.

Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de
modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre
AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS
sin saturar los enlaces entre los operadores.

Seguimos trabajando para solucionar el problema. Estamos en contacto con
AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina
el DoS. También modificamos nuestras respectivas configuraciones para
permitir que el DoS pase entre AS12956 y AS16276.

No podemos ofreceros más detalles, ya que esta intervención será leída por los
hackers que han realizado el DoS y utilizarán esta información para saltarse las
medidas que implementemos. Esta es también la razón por la que no hemos
creado hasta ahora la tarea en Travaux. En los casos de (D)DoS, cuanto
menos datos demos, menos incentivamos a los hackers y mejor gestionamos
los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes
españoles, debíamos informaros sobre el origen del problema.

Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces.
En las próximas horas veremos si aguanta. En cualquier caso, estamos
manteniendo conversaciones con Telefonica International para aumentar las
capacidades con su red. También vamos a instalar un nuevo router en Madrid
antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá
conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G,
OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent.
Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en
París de 200G y Ashburn, VA, de 200G.

Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a
subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más
la protección que ofrecemos a nuestros clientes por defecto en nuestros
servicios.

Sentimos sinceramente los inconvenientes generados para los visitantes
procedentes de Telefónica de España.
http://gsw.smokeping.ovh.net/smokepi...rget=EU.AS3352

Cordialmente,

Octave