Portada
mis comunidades
otras secciones
#12:
A ver, que creo que yo lo he entendido de otra forma.
/Dramatización/
Aquí el uso de OpenDNS o "los pelochos" de google da igual. No es trafico HACIA esos servidores el que está bloqueado.
Estos pollos tienen servidores DNS detrás de un router de fibra de Movistar, vamos que se convierten en sus propios servidores DNS para sus dominios.
Es decir, han montado un miniCPD en su casa y lo conectan a internet a través de Movistar. Para ello necesitan que se resuelva las dns del dominio y esos servidores DNS están en su casa.
A esos servidores es a los que preguntamos el resto del mundo cuando hacemos uso de OpenDNS, etc...
Movistar bloquea el trafico hacia esos servidores DNS detrás del router.
Consecuencia: todos los dominios quedan como si no existieran ya que los DNS raiz apuntan a unos servidores que no responden.
/Dramatización/
Aquí el uso de OpenDNS o "los pelochos" de google da igual. No es trafico HACIA esos servidores el que está bloqueado.
Estos pollos tienen servidores DNS detrás de un router de fibra de Movistar, vamos que se convierten en sus propios servidores DNS para sus dominios.
Es decir, han montado un miniCPD en su casa y lo conectan a internet a través de Movistar. Para ello necesitan que se resuelva las dns del dominio y esos servidores DNS están en su casa.
A esos servidores es a los que preguntamos el resto del mundo cuando hacemos uso de OpenDNS, etc...
Movistar bloquea el trafico hacia esos servidores DNS detrás del router.
Consecuencia: todos los dominios quedan como si no existieran ya que los DNS raiz apuntan a unos servidores que no responden.
#21:
#17 Más bien es así: Telefónica vende servicios a empresas, por ejemplo para que pongan un ISP. Un día de repente ven todos que Telefónica les filtra el puerto 53, con lo que dejan de dar servicio a sus clientes.
Lo de que " alguien que ha ubicado estos servidores donde no debería " es algo que no entiendo. Si alguien quiere poner un DNS ¿ acaso no puede comprar la conexión a Telefónica ? ¿ A quien debe hacerlo, si no ? ¿ En el extranjero ? La primera multinacional española y una de las primeras del mundo en telecomunicaciones no es capaz de dar un servicio tan básico ? ¿ No anuncia esa restricción en los contratos y lo corta sin avisar ?
Damos por sentado que al falta de seriedad es un derecho de las empresas y no es así. Es algo que toleran ciertos particulares (tras quejarse en el bar), pero cada día menos.
Lo de que " alguien que ha ubicado estos servidores donde no debería " es algo que no entiendo. Si alguien quiere poner un DNS ¿ acaso no puede comprar la conexión a Telefónica ? ¿ A quien debe hacerlo, si no ? ¿ En el extranjero ? La primera multinacional española y una de las primeras del mundo en telecomunicaciones no es capaz de dar un servicio tan básico ? ¿ No anuncia esa restricción en los contratos y lo corta sin avisar ?
Damos por sentado que al falta de seriedad es un derecho de las empresas y no es así. Es algo que toleran ciertos particulares (tras quejarse en el bar), pero cada día menos.
#26:
Trabajo en el CAT de Telefónica. Antes de nada disculparme por los compañeros que no tienen conocimientos para solucionar este tipo de incidencias. Como sabréis estamos subcontratados y "la empresa no puede permitirse periodos de formación de X tiempo" (que es lo que me dijeron al entrar). Los que sí sabemos tratamos de ayudar al resto de compañeros pero claro, es mucha gente, nos consultan los compañeros que se sientan con nosotros y ya está. Entiendo que es una putada, pero no es culpa de esta gente, que al fin y al cabo hace un trabajo absolutamente alienante por dos duros y bajo amenaza de despido constante (porque además es fácil hacerles creer que hacen mal las cosas, no saben defender un trabajo que entienden vagamente).
Por otro lado, que sepáis que en el CAT sí hay notificación de este fallo. Otra cosa es que Telefónica nos haga caso, algo que normalmente suele llevar su esfuerzo (es triste pero es así), de forma que normalmente estamos entre Telefónica y nuestra empresa y el cliente, avisando a los primeros y tratando de que no se mosquee el segundo porque de ello depende nuestro contrato con TESA y por ende nuestro trabajo. Ya os adelanto que es muy muy jodido bailar esta canción.
Todo lo expuesto en el blog es correcto. Es más, lo he comprobado desde casa y con servidores míos y así es. No tengo línea con TESA (xD) pero sí tengo buenos samaritanos que se han instalado un VNC para dejarme probar.
En el CAT este tipo de averías se escalan cuando hay bulto. Me explico. Si tú tienes un problema que no entra dentro de la operativa habitual que nos da telefónica, tienes varias opciones.
La primera que te toque alguien que sabe de qué estás hablando, en cuyo caso tomará nota y se lo pasará a quien corresponda. Eso quedará ahí, pero habitualmente nos ven como unos tocahuevos asi que depende del coordinador de turno que te hagan caso o no.
Que te toque alguien que no sabe de qué hablas pero ese día no se haya convertido en un robot, como tantos otros días, y seas capaz de convencerlo de buenas maneras de que escale la incidencia. Se le pasará a un coordinador que la revisará. Los coordinadores que YO CONOZCO sí lo revisan todo, y lo escalan a TESA, pero ellos tampoco es que puedan hacer gran cosa salvo recopilar casos y escalarlo.
En general, si aparecen suficientes casos (no os puedo decir cuantos son suficientes, porque de veras no lo sé) alguien se acaba por caer del guindo y aceptando que existe alguna avería masiva de algún tipo. Yo os puedo decir que esta en el CAT sí la hemos recopilado, pero no os puedo decir si la han escalado o si TESA se ha dado por enterada, no lo sé.
En definitiva, este tipo de incidencias son pura estadística. Si estás tú sólo, lo más probable es que te la comas. Si aparecen más clientes, te harán caso. Ojo, digo más clientes, no más llamadas.
Esto funciona así para todo, incluso para los problemas que tenemos los trabajadores. Si te pasa a tí sólo, pues ya sabes.
En resumen: En mi opinión lo mejor que se puede hacer es, a parte de seguir insistiendo por el foro (que lo miran) tratar de llamar cuantos más clientes mejor al 1002 y si te toca alguien que controla comentarle el tema y que lo escale, y si no trata de convencerlo con el argumento de la comunidad de Movistar, que hay muchos clientes que están notificando lo mismo, o empresas con TESA con el mismo problema). Trata de sonar convincente pero no trates al operador como una mierda o de forma despectiva porque no te va a ayudar. Creo que eso es todo, y espero seguir teniendo trabajo el lunes
Por otro lado, que sepáis que en el CAT sí hay notificación de este fallo. Otra cosa es que Telefónica nos haga caso, algo que normalmente suele llevar su esfuerzo (es triste pero es así), de forma que normalmente estamos entre Telefónica y nuestra empresa y el cliente, avisando a los primeros y tratando de que no se mosquee el segundo porque de ello depende nuestro contrato con TESA y por ende nuestro trabajo. Ya os adelanto que es muy muy jodido bailar esta canción.
Todo lo expuesto en el blog es correcto. Es más, lo he comprobado desde casa y con servidores míos y así es. No tengo línea con TESA (xD) pero sí tengo buenos samaritanos que se han instalado un VNC para dejarme probar.
En el CAT este tipo de averías se escalan cuando hay bulto. Me explico. Si tú tienes un problema que no entra dentro de la operativa habitual que nos da telefónica, tienes varias opciones.
La primera que te toque alguien que sabe de qué estás hablando, en cuyo caso tomará nota y se lo pasará a quien corresponda. Eso quedará ahí, pero habitualmente nos ven como unos tocahuevos asi que depende del coordinador de turno que te hagan caso o no.
Que te toque alguien que no sabe de qué hablas pero ese día no se haya convertido en un robot, como tantos otros días, y seas capaz de convencerlo de buenas maneras de que escale la incidencia. Se le pasará a un coordinador que la revisará. Los coordinadores que YO CONOZCO sí lo revisan todo, y lo escalan a TESA, pero ellos tampoco es que puedan hacer gran cosa salvo recopilar casos y escalarlo.
En general, si aparecen suficientes casos (no os puedo decir cuantos son suficientes, porque de veras no lo sé) alguien se acaba por caer del guindo y aceptando que existe alguna avería masiva de algún tipo. Yo os puedo decir que esta en el CAT sí la hemos recopilado, pero no os puedo decir si la han escalado o si TESA se ha dado por enterada, no lo sé.
En definitiva, este tipo de incidencias son pura estadística. Si estás tú sólo, lo más probable es que te la comas. Si aparecen más clientes, te harán caso. Ojo, digo más clientes, no más llamadas.
Esto funciona así para todo, incluso para los problemas que tenemos los trabajadores. Si te pasa a tí sólo, pues ya sabes.
En resumen: En mi opinión lo mejor que se puede hacer es, a parte de seguir insistiendo por el foro (que lo miran) tratar de llamar cuantos más clientes mejor al 1002 y si te toca alguien que controla comentarle el tema y que lo escale, y si no trata de convencerlo con el argumento de la comunidad de Movistar, que hay muchos clientes que están notificando lo mismo, o empresas con TESA con el mismo problema). Trata de sonar convincente pero no trates al operador como una mierda o de forma despectiva porque no te va a ayudar. Creo que eso es todo, y espero seguir teniendo trabajo el lunes
#2:
Tras pagar un servicio que en otros sitios se da gratis, uno ve que falla y que quien debería arreglarlo, no sabe.
Y tanto informático cualificado en paro...
Tras pagar un servicio que en otros sitios se da gratis, uno ve que falla y que quien debería arreglarlo, no sabe.
Y tanto informático cualificado en paro...
#17:
#13 Si y no.
A ver si consigo poner un poco de cordura que todo tiene su lógica.
Hay varias posiblilidades, grosso modo.
1) Una de las técnicas de ataque a un sitio es suplantar su servidor DNS.
Como este servidor es el que mantiente la lista de las IPs asignadas a cada equipo del dominio se convierte en un punto a atacar.
Con esto consigues redirigir el tráfico que debería ir al servidor legítimo (192.168.1.1) a otro servidor malicioso (192.168.3.12) y te haces con las contraseñas de todo cristo ya que montas un sitio igual.
Una vez conseguido modificar los registros NS haces que apunten a tu servidor DNS malote. Este servidor puede estar ubicado en una conexión DSL/Cable de un usuario normal infectado por un BotNet.
Esa IP forma parte entonces de un ataque y Movistar es el responsable final de cortar el ataque.
2) No es habitual que se ubiquen servidores DNS detrás de conexiones DSL/Cable ya que no tienen asignación IP estática por lo general. Cualquier tráfico entrante hacia estas direcciones es muy probable que sean debidas a ataques a terceros ya que los servidores DNS no se ubican casi nunca detrás de este tipo de conexiones.
Se suelen ubicar en proveedores de hosting con IP estática asignada e identificada.
3) Movistar se ve en la tesitura de mitigar este tipo de ataques en sus redes y para ello intenta una cosa que tiene este efecto, aunque para la gran mayoría de usuarios de su red es inocuo. Pero da con alguien que ha ubicado estos servidores donde no debería. Y se arma el lio.
En mi opinión no es para tanto. Movistar ha intentado mitigar una situación y ha generado ruido, pero no veo intencionalidad en este caso concreto.
Si no teneís servidores DNS en casa/oficina no os afecta. Y ubicar un DNS en casa/oficina es una patochada en muchos sentidos.
Si oís ruido de cascos no penséis primero en cebras donde solo puede haber caballos...
A ver si consigo poner un poco de cordura que todo tiene su lógica.
Hay varias posiblilidades, grosso modo.
1) Una de las técnicas de ataque a un sitio es suplantar su servidor DNS.
Como este servidor es el que mantiente la lista de las IPs asignadas a cada equipo del dominio se convierte en un punto a atacar.
Con esto consigues redirigir el tráfico que debería ir al servidor legítimo (192.168.1.1) a otro servidor malicioso (192.168.3.12) y te haces con las contraseñas de todo cristo ya que montas un sitio igual.
Una vez conseguido modificar los registros NS haces que apunten a tu servidor DNS malote. Este servidor puede estar ubicado en una conexión DSL/Cable de un usuario normal infectado por un BotNet.
Esa IP forma parte entonces de un ataque y Movistar es el responsable final de cortar el ataque.
2) No es habitual que se ubiquen servidores DNS detrás de conexiones DSL/Cable ya que no tienen asignación IP estática por lo general. Cualquier tráfico entrante hacia estas direcciones es muy probable que sean debidas a ataques a terceros ya que los servidores DNS no se ubican casi nunca detrás de este tipo de conexiones.
Se suelen ubicar en proveedores de hosting con IP estática asignada e identificada.
3) Movistar se ve en la tesitura de mitigar este tipo de ataques en sus redes y para ello intenta una cosa que tiene este efecto, aunque para la gran mayoría de usuarios de su red es inocuo. Pero da con alguien que ha ubicado estos servidores donde no debería. Y se arma el lio.
En mi opinión no es para tanto. Movistar ha intentado mitigar una situación y ha generado ruido, pero no veo intencionalidad en este caso concreto.
Si no teneís servidores DNS en casa/oficina no os afecta. Y ubicar un DNS en casa/oficina es una patochada en muchos sentidos.
Si oís ruido de cascos no penséis primero en cebras donde solo puede haber caballos...
Comentarios
A ver, que creo que yo lo he entendido de otra forma.
/Dramatización/
Aquí el uso de OpenDNS o "los pelochos" de google da igual. No es trafico HACIA esos servidores el que está bloqueado.
Estos pollos tienen servidores DNS detrás de un router de fibra de Movistar, vamos que se convierten en sus propios servidores DNS para sus dominios.
Es decir, han montado un miniCPD en su casa y lo conectan a internet a través de Movistar. Para ello necesitan que se resuelva las dns del dominio y esos servidores DNS están en su casa.
A esos servidores es a los que preguntamos el resto del mundo cuando hacemos uso de OpenDNS, etc...
Movistar bloquea el trafico hacia esos servidores DNS detrás del router.
Consecuencia: todos los dominios quedan como si no existieran ya que los DNS raiz apuntan a unos servidores que no responden.
#4 8.8.8.8
Como secunadaria y de primaria la del isp.
#12 Pero entonces movistar esta filtrado trafico ip ,seria ya de escandalo ,ya se les fue la mano hace tiempo metiendo QoS a saco del trafico de yutube /mega y derivados y vuelvan a la andadas rompiendo la neutralidad de red...
#13 Si y no.
A ver si consigo poner un poco de cordura que todo tiene su lógica.
Hay varias posiblilidades, grosso modo.
1) Una de las técnicas de ataque a un sitio es suplantar su servidor DNS.
Como este servidor es el que mantiente la lista de las IPs asignadas a cada equipo del dominio se convierte en un punto a atacar.
Con esto consigues redirigir el tráfico que debería ir al servidor legítimo (192.168.1.1) a otro servidor malicioso (192.168.3.12) y te haces con las contraseñas de todo cristo ya que montas un sitio igual.
Una vez conseguido modificar los registros NS haces que apunten a tu servidor DNS malote. Este servidor puede estar ubicado en una conexión DSL/Cable de un usuario normal infectado por un BotNet.
Esa IP forma parte entonces de un ataque y Movistar es el responsable final de cortar el ataque.
2) No es habitual que se ubiquen servidores DNS detrás de conexiones DSL/Cable ya que no tienen asignación IP estática por lo general. Cualquier tráfico entrante hacia estas direcciones es muy probable que sean debidas a ataques a terceros ya que los servidores DNS no se ubican casi nunca detrás de este tipo de conexiones.
Se suelen ubicar en proveedores de hosting con IP estática asignada e identificada.
3) Movistar se ve en la tesitura de mitigar este tipo de ataques en sus redes y para ello intenta una cosa que tiene este efecto, aunque para la gran mayoría de usuarios de su red es inocuo. Pero da con alguien que ha ubicado estos servidores donde no debería. Y se arma el lio.
En mi opinión no es para tanto. Movistar ha intentado mitigar una situación y ha generado ruido, pero no veo intencionalidad en este caso concreto.
Si no teneís servidores DNS en casa/oficina no os afecta. Y ubicar un DNS en casa/oficina es una patochada en muchos sentidos.
Si oís ruido de cascos no penséis primero en cebras donde solo puede haber caballos...
#17 De telefonica no me fio ni un pelo sus tremenejes con el trafico ya traen cola desde hace mucho.
No llegaron al qos bestia de ono pero se le acercaron y ahora que estan dando fibra a saco no me estrañaria que volviesen meter sus politicas qos bestias.
#18 Esto no tiene nada que ver con QoS.
Tiene que ver con tener sentido común al usar este tipo de líneas.
A nadie con dos dedos de frente en el mundo de la administración de sistemas se le ocurre meter un DNS Server detrás de una ADSL/FHHT/Cable doméstico/pyme.
Puedes poner servicios secundarios y hasta si me apuras primarios (tengo ambos en mi negocio así) pero un DNS server jamás. Es un suicidio.
Sobre todo teniendo en cuenta que hoy por hoy tener un DNS en un proveedor de hosting te cuesta, cuanto... ¿20€/año en el más barato?
#20 Muchas veces tienes el DNS integrado con tus propios servicios internos...Por ejemplo, puedes estar usando AD internamente, y el DNS de microsoft esta muy integrado con el AD.. Si ademas quieres poner autenticacion kerberos/spenego, y crear tus propios SPN en el AD/DNS, lo normal es que tengas todo integrado.
#22 Pues si. En eso te doy la razón.
Pero yo monto una VPN si o si para ese caso. No dejo el DNS "al aire" y lo meto detrás de una VPN.
#27 tienes razón, pero lo cierto es que hay muchos clientes que montan servicios críticos con FTTH y ADSL. O por ejemplo gente que tiene una oficina con muchos equipos y conecta todo a un ADSL cutrencio y ya está. Siempre me ha parecido sorprendente, pero bueno, es así.
Por ejemplo un caso habitual es un cliente que tiene una empresa dependiendo de un ADSL de 10mb y se queda sin sincronismo, o le pasa cualquier cosa. Y le tienes que decir que se tiene que joder y esperar a que se determine lo que pasa. Yo entiendo el mosqueo pero es cierto lo que dices tú, tener un negocio dependiendo de algo así es extremadamente imprudente. Y Telefónica será malvada y todo lo que tu quieras, pero la probabilidad de tener problemas con unas conexiones pensadas para particulares y autónomos, y más sobre ADSL, es bastante alta. Te puede gustar o no, pero es así, no es inherente a la maldad de Telefónica.
Cuando te encuentras con clientes más prudentes. Por ejemplo clientes con un par de líneas y tal, lo notas hasta en el trato.
#20 Lo que digo es cuando metieron el qos a saco con mega /youtube y derivados miantras no le salto todo dios y tubieron alguna que otra baja no movieron un puto pelo durante un mes o mas.
Los de cat tirando balones fuera negando que capaban y derivados.
Como paso con ono y los capados por zonas se parobechavan que no eran todos los usuarios y que ellos no capaban todo mentiras.
#17 Más bien es así: Telefónica vende servicios a empresas, por ejemplo para que pongan un ISP. Un día de repente ven todos que Telefónica les filtra el puerto 53, con lo que dejan de dar servicio a sus clientes.
Lo de que " alguien que ha ubicado estos servidores donde no debería " es algo que no entiendo. Si alguien quiere poner un DNS ¿ acaso no puede comprar la conexión a Telefónica ? ¿ A quien debe hacerlo, si no ? ¿ En el extranjero ? La primera multinacional española y una de las primeras del mundo en telecomunicaciones no es capaz de dar un servicio tan básico ? ¿ No anuncia esa restricción en los contratos y lo corta sin avisar ?
Damos por sentado que al falta de seriedad es un derecho de las empresas y no es así. Es algo que toleran ciertos particulares (tras quejarse en el bar), pero cada día menos.
#21 Hacen lo mismo con las VPN desde conexiones móviles. O contratas con ellos no-se-qué pack u olvídate de poder usar una VPN desde el teléfono.
#21 Para dar servicios de ISP no usas ese tipo de líneas. Usas otro tipo de líneas y manejas otro tipo de contratos.
Punto.
Las líneas domésticas son para lo que son. Y estas lineas son eso, domésticas.
Un ISP tiene otro perfil de todo, de empresa, de tráfico, de ...
Es de primero de seguridad y se tercero de administración de sistemas.
Desconozco si conoces el entorno profesional de TI pero esto es así si eres responsable.
Yo tengo alojados en el CPD de la oficina los servidores de pruebas, los de ticketing de soporte, los FTP de respaldo de los diferentes hostings de nuestros clientes, parte de las nubes privadas virtuales, la centralita asterix... pero en ningún momento se me ocurre alojar en la oficina dos servicios críticos para el negocio que son muy susceptibles de tener estos problemas:
- El DNS
- El Correo
Para eso tenemos hostings.
Los hay mas caros o más baratos, hay VPS por dos miserables duros en CPDs como Interxion, o si quieres ejercer de ISP como los ISP te vas a Global Switch, etc..
No se, a nosotros no se nos ocurre hacerlo ni hartos de COD.
#25 En el blog dice que son contratos de pyme. Yo creo que si una pyme no puede poner ni un dns, ya apaga y vámonos.
#21 no, o parece que te venden internet para ver Youtube
Cuando el artículo dice lo de contratar el correo con ellos, parece que alguien no ha entendido lo importante que es la seguridad y manejar tu propio correo desde tu sysadmin. Es como si eres el ministerio de defensa y usas gmail (exagerando, pero para que se vea)
#17 Vas encaminado, pero creo que esta no es la causa.
Muchos servidores DNS son vulnerables a ser parte de lo que se denomina ataque DDoS por amplificación DNS. Este se basa en dos coincidencias:
1- Cuando tu haces una petición DNS, con una peticion muy pequeña (dame todos los registros de el dominio X) el servidor DNS contesta con una respuesta más grande (por ejemplo, la lista de 100 registros con dicha información, que puede ocupar 100 veces más que la petición.
2- DNS es un protocolo bastante tonto que va por UDP, en el que no comprueba que la dirección del cliente no ha sido falsificada antes de enviar el paquete 100 veces más grande.
¿Como podemos entonces usar un servidor DNS cómo parte de un ataque DDoS?
-Buscamos un proveedor que nos deje enviar tráfico UDP desde la dirección que le digamos.
-Buscamos servidores vulnerables, como el de una PYME en Telefónica que use sus propios DNS y tenga 100mb simétricos (ja-ja).
-Enviamos peticiones DNS a ese servidor, pero falsificamos la IP de origen para que parezca que la petición viene de la IP al que queramos atacar. El servidor DNS responderá al que cree que es el origen de la peticion (la victima del ataque).
Lo bueno es que esto significa que siendo capaces de enviar peticiones falsas a un servidor DNS a 1MBps, el servidor enviara paquetes 100 veces mas rápido a la victima (100MBps).
Ahora, imaginate que el atacante encuentra 100 servidores vulnerables y envía a cada uno a 1MBps. Con 100MBps de subida, es capaz de generar 10GBps de tráfico hacia una victima. Es esto lo que hace tan golosos a los servidores DNS.
¿Mi apuesta? Quien se dedica a manejar y filtrar el tráfico que causa DDoS se ha pasado con las reglas de filtrado. O eso, o ha habido una racha de muchos de estos ataques usando DNS en IPs de Telefónica y han decidido cortar por lo sano.
Si esta es la causa, que creo que es lo más probable, el 1002 os va a servir de poco, quien lo puede arreglar esta mucho más "arriba" en la cadena (quien gestione las rutas salientes, filtrado y sesiones BGP de la red de TESA). Probablemente la mejor manera de llegar a ellos sea, como ya dijeron más arriba, los sistemas de contacto por abuso. Pero en algo tan critico como las redes que dan Internet a media España, probablemente ya esten más que enterados.
Yo me armaria de Wireshark y veria si lo que esta capado es el tráfico entrante o el saliente (si una petición DNS desde fuera llega al servidor alojado en Telefónica, o si es la respuesta la que se queda por el camino). Aunque no es que solucione mucho...
(nota: la amplificación no es exactamente de 100, no recuerdo el factor exacto pero como mínimo es de 2X. Hay mucha mas info sobre estos ataques en el blog de CloudFlare.)
#33 Como dice #36 Lo más probable es que sea por temas de spam y ddos por lo que sí avisas en nemesys igual aún lo capan mas
#39 Si están filtrando todo el tráfico al puerto 53 entrante a todos los clientes no se pierde nada por preguntarles el motivo y decirles que si el problema no está en tu red te quiten del filtro.
#10 es un puerto filtrado. Se ve con un simple nmap. No hay nada de ataques en el tema. Como mucho un ataque de falta de profesionalidad.
#13 es de escándalo.
#12 Acavo leer y la hija puta de telefonica cierra el puerto 53.
53 TCP UDP Domain Name System (DNS)
Que cojones se dedica sinfar tocar un puerto basico como ese ,que cojones le importa que web servicios accedes a telefonica.
#12 Exacto es bloqueo de tráfico hacia los servidores. No sólo son dominios domésticos, también son PYMES en el hilo del foro de Movistar se ve unos cuantos casos http://comunidad.movistar.es/t5/Soporte-T%C3%A9cnico-Banda-Ancha/capado-puerto-53-muy-gordo/td-p/1779198
Tras pagar un servicio que en otros sitios se da gratis, uno ve que falla y que quien debería arreglarlo, no sabe.
Y tanto informático cualificado en paro...
Trabajo en el CAT de Telefónica. Antes de nada disculparme por los compañeros que no tienen conocimientos para solucionar este tipo de incidencias. Como sabréis estamos subcontratados y "la empresa no puede permitirse periodos de formación de X tiempo" (que es lo que me dijeron al entrar). Los que sí sabemos tratamos de ayudar al resto de compañeros pero claro, es mucha gente, nos consultan los compañeros que se sientan con nosotros y ya está. Entiendo que es una putada, pero no es culpa de esta gente, que al fin y al cabo hace un trabajo absolutamente alienante por dos duros y bajo amenaza de despido constante (porque además es fácil hacerles creer que hacen mal las cosas, no saben defender un trabajo que entienden vagamente).
Por otro lado, que sepáis que en el CAT sí hay notificación de este fallo. Otra cosa es que Telefónica nos haga caso, algo que normalmente suele llevar su esfuerzo (es triste pero es así), de forma que normalmente estamos entre Telefónica y nuestra empresa y el cliente, avisando a los primeros y tratando de que no se mosquee el segundo porque de ello depende nuestro contrato con TESA y por ende nuestro trabajo. Ya os adelanto que es muy muy jodido bailar esta canción.
Todo lo expuesto en el blog es correcto. Es más, lo he comprobado desde casa y con servidores míos y así es. No tengo línea con TESA (xD) pero sí tengo buenos samaritanos que se han instalado un VNC para dejarme probar.
En el CAT este tipo de averías se escalan cuando hay bulto. Me explico. Si tú tienes un problema que no entra dentro de la operativa habitual que nos da telefónica, tienes varias opciones.
La primera que te toque alguien que sabe de qué estás hablando, en cuyo caso tomará nota y se lo pasará a quien corresponda. Eso quedará ahí, pero habitualmente nos ven como unos tocahuevos asi que depende del coordinador de turno que te hagan caso o no.
Que te toque alguien que no sabe de qué hablas pero ese día no se haya convertido en un robot, como tantos otros días, y seas capaz de convencerlo de buenas maneras de que escale la incidencia. Se le pasará a un coordinador que la revisará. Los coordinadores que YO CONOZCO sí lo revisan todo, y lo escalan a TESA, pero ellos tampoco es que puedan hacer gran cosa salvo recopilar casos y escalarlo.
En general, si aparecen suficientes casos (no os puedo decir cuantos son suficientes, porque de veras no lo sé) alguien se acaba por caer del guindo y aceptando que existe alguna avería masiva de algún tipo. Yo os puedo decir que esta en el CAT sí la hemos recopilado, pero no os puedo decir si la han escalado o si TESA se ha dado por enterada, no lo sé.
En definitiva, este tipo de incidencias son pura estadística. Si estás tú sólo, lo más probable es que te la comas. Si aparecen más clientes, te harán caso. Ojo, digo más clientes, no más llamadas.
Esto funciona así para todo, incluso para los problemas que tenemos los trabajadores. Si te pasa a tí sólo, pues ya sabes.
En resumen: En mi opinión lo mejor que se puede hacer es, a parte de seguir insistiendo por el foro (que lo miran) tratar de llamar cuantos más clientes mejor al 1002 y si te toca alguien que controla comentarle el tema y que lo escale, y si no trata de convencerlo con el argumento de la comunidad de Movistar, que hay muchos clientes que están notificando lo mismo, o empresas con TESA con el mismo problema). Trata de sonar convincente pero no trates al operador como una mierda o de forma despectiva porque no te va a ayudar. Creo que eso es todo, y espero seguir teniendo trabajo el lunes
Lo que está bloqueando Movistar es tráfico DNS HACIA SU RED. No DESDE SU RED. El uso de Google DNS (8.8.8.8,8.8.4.4), OpenDNS (208.67.222.222,208.67.220.220) y demases si funciona perfectamente.
Lo que no entiendo es por qué Movistar querria bloquear peticiones DNS hacia su red y no bloquea el de email, http, ssh... También está por ver si esta gente que monta servidores en su casa/oficina y usa la red de Movistar para acceder desde el exterior se les permite por contrato. Google Fiber la lió parda hace un tiempo porque te dan 1gbps pero no te dejan montar servidores usando dicha linea. Al final lo rebajaron únicamente para servidores de uso personal.
Y si, no es lo común usar servidores DNS en redes domésticas. La mayoria de operadoras móviles y Vodafone por ejemplo no deja el uso de email porque o no tienen DNS Reverse en su RIPE de IPs o porque lo tienen mal resuelto.
#23: Menos mal que alguien ha usado la cabeza para escribir algo que no fuera lo primero que se le pasaba!
A finales de enero en nuestra empresa empezamos a recibir avisos de un tal NFOservers, avisandonos de alguno de nuestros clientes había participado en un un ataque DDoS por no tener la recursividad en sus servidores capada.
A movistar le habrá pasado lo mismo y como son más chulos que nadie (y tienen más clientes que nosotros) pues algun iluminado habrá dicho, pues impedimos las peticiones DNS (entrantes), total como solo un pequeño porcentaje tiene un servidor dns montado...
si hubiesen cortado el tráfico saliente, ningún usuario hubiese podido navegar normalmente.
You appear to be running an open recursive resolver at IP address w.x.y.z that participated in an attack against a customer of ours today, generating large UDP responses to spoofed queries, with those responses becoming fragmented because of their size.
Please consider reconfiguring your resolver in one or more of these ways:
- To only serve your customers and not respond to outside IP addresses (in BIND, this is done by defining a limited set of hosts in "allow-query"; with a Windows DNS server, you would need to use firewall rules to block external access to UDP port 53)
- To only serve domains that it is authoritative for (in BIND, this is done by defining a limited set of hosts in "allow-query" for the server overall but setting "allow-query" to "any" for each zone)
- To rate-limit responses to individual source IP addresses (DNS Response Rate Limiting, or DNS RRL)
More information on this type of attack and what each party can do to mitigate it can be found here: http://www.us-cert.gov/ncas/alerts/TA13-088A
If you are an ISP, please also look at your network configuration and make sure that you do not allow spoofed traffic (that pretends to be from external IP addresses) to leave the network. Hosts that allow spoofed traffic make possible this type of attack.
Example DNS responses from your resolver during this attack are given below. Times are PST (UTC-8), and the date is 2014-01-22.
//aqui va la salida del tcpdump / whireshark
-John
President
Nuclearfallout, Enterprises, Inc. (NFOservers.com)
(We're sending out so many of these notices, and seeing so many auto-responses, that we can't go through this email inbox effectively. If you have follow-up questions, please contact us at noc@nfoe.net.)
Ahora bien, si mi cliente quiere tener un DNS público (que resuelva cualquier dominio), ¿qué solución propondriais?
#34 Hombre, claro que esa puede ser una solución provisional. Pero mientars te das cuentas y mientras montas una alternativa o algo provisional te has quedado sin servidor DNS, que es una putada.
A parte del asunto de pasarse por el forro de los cojones la neutralidad de la red...
Exactamente la misma historia, salvo que a mi el Miércoles me empezó a ir poco a poco (aunque no normalizado del todo).
http://www.opennicproject.org
Cosas por el estilo fueron pan de cada día cuando estuve en Timofónica (por muuchos años por tradición familiar...): Todos los meses en las mismas fechas y en años nunca lo arreglaron. Cada mes me llegaba la misma carta lamentando las molestias, prometiendo un futuro maravilloso y abonando en mi Banco la cantidad correspondiente a los días sin servicio. Considerando que mi negocio depende de Internet, no era mucho ni el consuelo ni la compensación. Me cambié de proveedor y santo remedio, más barato, más velocidad y nunca más un problema. ¡Al demonio la tradición familiar con Timofónica!...
Nemesys is your friend (esto no se lo cree nadie ): http://www.movistar.es/nemesys, nemesys@telefonica.es
Nemesys Abuse Team
Telefonica de España S.A.U.
C.I.F. A82018474
Soy un usuario afortunado, mi 10 megas por ahora y toco madera va genial después de 5 años.
Y utilizo descarga directa y torrent.
¿que leñes hace movistar filtrando tráfico en primer lugar?, aunque es posible que se trate de una medida de mitigación de DDOS, es muy mosqueante.
Ahora entiendo porque el miércoles mi adsl iba a la velocidad de un antiguo módem 56k, no es que fuera lento es que directamente no se cargaba ninguna web....Estafadores!!!
Y pensar que pense que era por el plugin de AEDE.
Joder por eso mi adsl va como el culo...alguna solución? Gracias!
¿necesitas un dominio? Cómprame el servicio Enterprise.
:fuu:
El story board de los sufridos usuarios del blog vomistar en texto
MIERCOLES POR LA TARDE, EL PRINCIPIO
eugebarna
Usuario Junior
capado puerto 53 (muy gordo)
Opciones
el 19-02-2014 16:45
Hola, llevo más de 10 años con telefonica y lo hoy no lo he visto nunca.
Mis servidores de Barcelona …
JUEVES POR LA MAÑANA, LA COMUNITI GUARRANAGER “EXPERTA ANTIFRAUDE AJENO”
(NO SE VOLVIÓ A SABER MAS DE ELLA NI DE NINGÚN OTRO “CEREBRO”
Marga-Movistar
Experto Antifraude
Re: capado puerto 53 (muy gordo)
Opciones
el 20-02-2014 9:41
Buenos días
Movemos este hilo al foro de Soporte técnico de Banda Ancha ya que allí llevan estas incidencias
Un saludo
EL ÚLTIMO POST, POR FIN UNA EXPLICACIÓN LÓGICA
kitus2
Aprendiz Cinturón Verde
Re: capado puerto 53 (muy gordo)
Opciones
el 23-02-2014 23:33
Sigue sin funcionar. Parece que el directivo de turno ha dejado las contraseñas del firewall en su despacho, y no vuelve de esquiar hasta el lunes. O será el martes?...
Y digo yo esto también afecta a yoigo o Tuenti?
Es que a quien cojones se le ocurre contratar movistar ?
Hasta donde había oído... De ataques va la cosita.
OpenDNS!!!
#4 Perdón porque igual no está bien explicado por mi parte, pero entiendo que no es un tema de navegación a nivel usuario, si no de bloqueo de servicios en servidores. Por lo que OpenDNS o cualquier otro servidor que de el servicio gratis o lo que sea, no tiene que ver con el tema. Están bloqueando la recepción de tráfico en el puerto 53 de servidores lo que impide acceder a los dominios alojados detrás de conexiones de Movistar.
#5 ¿y en ese caso no se podría usar afraid.org? Yo tengo un servidor doméstico con línea Movistar pero uso ese servidor dns gratuito de terceros. Podría ser una solución provisional.
#4 OpenDNS? esos mafiosos me bloquearon una web por pishing cuando no lo era en absoluto, hasta que me lo dijo un amigo me tuvieron 1 mes la web bloqueada.