El conocido proveedor de hosting y servicios de redes OVH está sufriendo un ataque masivo a su red por parte de una botnet que actúa desde la red de Telefónica España. El ataque es de tipo DoS (Denial of Service) y no DDoS (Distributed Denial of Service) porque todo el ataque procede desde ordenadores infectados en la red de Telefónica España y no desde distintos lugares.
#20:
#5 Este es el correo completo que hemos recibido los clientes de OVH:
Estimados/as clientes:
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España AS12956 Telefonica International AS16276 OVH.
Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.
En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.
Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit AS3352 Telefónica de España AS12956 Telefonica International AS5511 OpenTransit AS16276 OVH.
Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.
El tráfico nos llega ahora por Level3 AS3356 AS3352 Telefónica de España AS12956 Telefonica International AS3356 Level3 AS16276 OVH.
Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS sin saturar los enlaces entre los operadores.
Seguimos trabajando para solucionar el problema. Estamos en contacto con AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina el DoS. También modificamos nuestras respectivas configuraciones para permitir que el DoS pase entre AS12956 y AS16276.
No podemos ofreceros más detalles, ya que esta intervención será leída por los hackers que han realizado el DoS y utilizarán esta información para saltarse las medidas que implementemos. Esta es también la razón por la que no hemos creado hasta ahora la tarea en Travaux. En los casos de (D)DoS, cuantos menos datos demos, menos incentivamos a los hackers y mejor gestionamos los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes españoles, debíamos informaros sobre el origen del problema.
Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces. En las próximas horas veremos si aguanta. En cualquier caso, estamos manteniendo conversaciones con Telefonica International para aumentar las capacidades con su red. También vamos a instalar un nuevo router en Madrid antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G, OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent. Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en París de 200G y Ashburn, VA, de 200G.
Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más la protección que ofrecemos a nuestros clientes por defecto en nuestros servicios.
Sentimos sinceramente los inconvenientes generados para los visitantes procedentes de Telefónica de España.
#69:
#54 Hombre, ya sabemos que los auténticos expertos (en todo) están en menéame.
#5:
soy cliente de OVH y simplemente quería agradecer a esta compañía su trato al cliente y capacidad de reacción ante problemas, llevo contratándoles servidores unos 7 u 8 años ya y siempre que ha habido algún fallo crítico han respondido de forma muy satisfactoria a los tickets de ayuda... igualito a las telecos de este país!... como se agradecen cuando una compañía a la que pagas asume su responsabilidad ante un problema, te informa y toma medidas. A ver ahora si telefónica hace algo parecido con su parte de culpa y la responsabilidad para con sus clientes.
#54:
#2 personalmente, creo que chema tiene más de flipao mediático que de experto...
El nivel de detalle del correo de OVH es para que se te caigan las pelotas al suelo.
>
#29:
#7 Si no me equivoco, la diferencia está en que, en este caso, al venir el ataque desde la misma red, lo que se ha saturado no son los propios servidores de OVH sino la conexión que tiene telefónica con OVH. Realmente tenéis problemas de acceso los que están en la red de Telefónica, el resto debería pasar sin problemas (al igual que desde otros países). Según pone la propia OVH en su correo, ellos serían capaces de bloquear el ataque si llegara a sus servidores, pero es que el cuello de botella está en la conexión Telefónica-OVH, y es Telefónica la que tiene que hacer el trabajo. Por eso pone en el correo que están en conversaciones con ellos.
Según el correo, lo que han decidido es aumentar el tamaño de la conexión para intentar que no se forme ese cuello de botella. Pero eso será en Octubre.
#62:
#57 Para el que lanza el ataque puede ser distribuído, pero para el que lo recibe no tiene por qué serlo. Si todas las máquinas atacantes están en una misma red y te llegan todas por el mismo sitio para quien tiene que mitigar el ataque la estrategia es distinta que si le llega por varios lugares.
Si equipos de muchos países pertenecen a redes conectadas entre si y todas comunican con la misma red de transporte que a su vez comunica con el objetivo del ataque y va todo enrutado por ahí para el defensor sigue sin ser distribuido. Incluso aunque el atacante haya tenido que lograr vulnerar las medidas de seguridad por separado de cada una de las redes donde están los equipos que quiere usar para atacar. Puede que con esa botnet atacando a otro objetivo distinto el etaque si que sea distribuido porque los clientes de una partición de red conectan por un enlace distinto que los de la otra partición de la red.
O es muy listo y ha pensado en joder los enlaces y liarla parda dejando en ridículo el sistema de mitigación de OVH apuntando desde una sola red a pesar de que su red de botnet se extiende mucho más allá haciendo daño a todo el trafico de un país tan grande como España (no es poca cosa).
O... es un fallo en los routers/ont/algo de telefónica que permite generar trafico a voluntad de un atacante.
Por desgracia y como cliente de telefónica me temo que va a ser la segunda por que me parece demasiado rebuscado, sin precedentes, planeado y brillante el primer caso.
Así que la navaja de un señor nos dice que probablemente hay un fallo en los firmware de telefónica, en alguna web de clientes en la app o "ves a saber" pero algo así donde alguien ha podido meter un iframe con refresh o cualquier mierda así para generar ese tráfico desde "una sola red" que más bien será "desde la red vulnerable" me temo.
#44:
#4 Vamos a ver:
- La bootnet solo usa equipos en la red de telefónica, para saturar el enlace de ovh con telefónica (150G/s), si fuera distribuido tienen mucho mas ancho de banda y no lo podrían saturar con este ancho de banda.
- Los equipos infectados son clientes de telefónica y por tanto responsabilidad de telefónica, si no cumplen con la legalidad, se les corta la conexión hasta que lo resuelvan.
- Es un ataque de inundación de trafico y por tanto al 99% estará espufeadas las IPs origen (falsificadas) con lo que no se puede filtrar una dirección IP, además el problema no está en OVH, si no que los enlaces ya llegan saturados de trafico y solo telefónica podría filtrarlo antes de salir de sus redes (por mucho que cierre la puerta de mi casa, de poco va a servir si la gente se agolpa en la puerta para entrar)
A mi juicio, telefónica es un colaborador necesario de este ataque, eso si, estoy convencido que es incapacidad y no malicia, pero bueno, viniendo de telefónica quien sabe.
#65:
Según comentó Octave, el CEO de OVH, el ataque viene de cámaras IP, casi 69.000 con usuario y contraseña por defecto, hackeadas para hacer un DoS.
#4:
Nos caiga mejor o peor Telefónica, no es culpa de ellos sino de sus clientes. Lo que me da miedo es que el resto de Datacenters, para protegerse y/o prevenir, tomen como precaución banear a todas las IP's de Telefónica España.
Lo que tienen que hacer es ponerse en contacto con OVH para obtener una lista de las IP's desde las que se ha lanzado el DoS, averiguar sus propietarios y contactar con ellos para avisarles que tienen un problema con sus equipos conectados a su red, que están siendo usados de manera ilícita para sabotear redes y servidores, y ya puestos, advertirles que sus equipos están en riesgo por estar bajo el control de otros.
Cosas aparte, ¿ya han identificado qué tipo de botnet es la causante?. Lo extrañamente curioso es que sólo se circunscribe al ámbito Telefónica España (o sea, España). ¿Acaso es una botnet que sólo afecta a usuarios españoles residentes en España y conectados a redes de Movistar?. Pues que me aspen pero sería una botnet de lo más raro raro raro que jamás haya visto en mi vida. Esto me parece que va a traer algo de debate en el mundillo de la seguridad informática.
#16:
#3 Hace un par de días, ni cargaban los paneles de administración ni la principal de su WEB, en cambio FTP al 70% y WEB con un poco más de latencia de lo normal y algunos cortes muy puntuales. Ahora parece funcionar de forma decente, supongo que fue el inicio.
#1:
Ahora, mas que nunca...
TIMOFONICA
Siempre Jodiendo.
#5 Este es el correo completo que hemos recibido los clientes de OVH:
Estimados/as clientes:
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España AS12956 Telefonica International AS16276 OVH.
Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.
En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.
Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit AS3352 Telefónica de España AS12956 Telefonica International AS5511 OpenTransit AS16276 OVH.
Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.
El tráfico nos llega ahora por Level3 AS3356 AS3352 Telefónica de España AS12956 Telefonica International AS3356 Level3 AS16276 OVH.
Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS sin saturar los enlaces entre los operadores.
Seguimos trabajando para solucionar el problema. Estamos en contacto con AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina el DoS. También modificamos nuestras respectivas configuraciones para permitir que el DoS pase entre AS12956 y AS16276.
No podemos ofreceros más detalles, ya que esta intervención será leída por los hackers que han realizado el DoS y utilizarán esta información para saltarse las medidas que implementemos. Esta es también la razón por la que no hemos creado hasta ahora la tarea en Travaux. En los casos de (D)DoS, cuantos menos datos demos, menos incentivamos a los hackers y mejor gestionamos los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes españoles, debíamos informaros sobre el origen del problema.
Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces. En las próximas horas veremos si aguanta. En cualquier caso, estamos manteniendo conversaciones con Telefonica International para aumentar las capacidades con su red. También vamos a instalar un nuevo router en Madrid antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G, OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent. Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en París de 200G y Ashburn, VA, de 200G.
Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más la protección que ofrecemos a nuestros clientes por defecto en nuestros servicios.
Sentimos sinceramente los inconvenientes generados para los visitantes procedentes de Telefónica de España.
soy cliente de OVH y simplemente quería agradecer a esta compañía su trato al cliente y capacidad de reacción ante problemas, llevo contratándoles servidores unos 7 u 8 años ya y siempre que ha habido algún fallo crítico han respondido de forma muy satisfactoria a los tickets de ayuda... igualito a las telecos de este país!... como se agradecen cuando una compañía a la que pagas asume su responsabilidad ante un problema, te informa y toma medidas. A ver ahora si telefónica hace algo parecido con su parte de culpa y la responsabilidad para con sus clientes.
#7 Si no me equivoco, la diferencia está en que, en este caso, al venir el ataque desde la misma red, lo que se ha saturado no son los propios servidores de OVH sino la conexión que tiene telefónica con OVH. Realmente tenéis problemas de acceso los que están en la red de Telefónica, el resto debería pasar sin problemas (al igual que desde otros países). Según pone la propia OVH en su correo, ellos serían capaces de bloquear el ataque si llegara a sus servidores, pero es que el cuello de botella está en la conexión Telefónica-OVH, y es Telefónica la que tiene que hacer el trabajo. Por eso pone en el correo que están en conversaciones con ellos.
Según el correo, lo que han decidido es aumentar el tamaño de la conexión para intentar que no se forme ese cuello de botella. Pero eso será en Octubre.
Nos caiga mejor o peor Telefónica, no es culpa de ellos sino de sus clientes. Lo que me da miedo es que el resto de Datacenters, para protegerse y/o prevenir, tomen como precaución banear a todas las IP's de Telefónica España.
Lo que tienen que hacer es ponerse en contacto con OVH para obtener una lista de las IP's desde las que se ha lanzado el DoS, averiguar sus propietarios y contactar con ellos para avisarles que tienen un problema con sus equipos conectados a su red, que están siendo usados de manera ilícita para sabotear redes y servidores, y ya puestos, advertirles que sus equipos están en riesgo por estar bajo el control de otros.
Cosas aparte, ¿ya han identificado qué tipo de botnet es la causante?. Lo extrañamente curioso es que sólo se circunscribe al ámbito Telefónica España (o sea, España). ¿Acaso es una botnet que sólo afecta a usuarios españoles residentes en España y conectados a redes de Movistar?. Pues que me aspen pero sería una botnet de lo más raro raro raro que jamás haya visto en mi vida. Esto me parece que va a traer algo de debate en el mundillo de la seguridad informática.
#3 Hace un par de días, ni cargaban los paneles de administración ni la principal de su WEB, en cambio FTP al 70% y WEB con un poco más de latencia de lo normal y algunos cortes muy puntuales. Ahora parece funcionar de forma decente, supongo que fue el inicio.
#4 Vamos a ver:
- La bootnet solo usa equipos en la red de telefónica, para saturar el enlace de ovh con telefónica (150G/s), si fuera distribuido tienen mucho mas ancho de banda y no lo podrían saturar con este ancho de banda.
- Los equipos infectados son clientes de telefónica y por tanto responsabilidad de telefónica, si no cumplen con la legalidad, se les corta la conexión hasta que lo resuelvan.
- Es un ataque de inundación de trafico y por tanto al 99% estará espufeadas las IPs origen (falsificadas) con lo que no se puede filtrar una dirección IP, además el problema no está en OVH, si no que los enlaces ya llegan saturados de trafico y solo telefónica podría filtrarlo antes de salir de sus redes (por mucho que cierre la puerta de mi casa, de poco va a servir si la gente se agolpa en la puerta para entrar)
A mi juicio, telefónica es un colaborador necesario de este ataque, eso si, estoy convencido que es incapacidad y no malicia, pero bueno, viniendo de telefónica quien sabe.
#57 Para el que lanza el ataque puede ser distribuído, pero para el que lo recibe no tiene por qué serlo. Si todas las máquinas atacantes están en una misma red y te llegan todas por el mismo sitio para quien tiene que mitigar el ataque la estrategia es distinta que si le llega por varios lugares.
Si equipos de muchos países pertenecen a redes conectadas entre si y todas comunican con la misma red de transporte que a su vez comunica con el objetivo del ataque y va todo enrutado por ahí para el defensor sigue sin ser distribuido. Incluso aunque el atacante haya tenido que lograr vulnerar las medidas de seguridad por separado de cada una de las redes donde están los equipos que quiere usar para atacar. Puede que con esa botnet atacando a otro objetivo distinto el etaque si que sea distribuido porque los clientes de una partición de red conectan por un enlace distinto que los de la otra partición de la red.
O es muy listo y ha pensado en joder los enlaces y liarla parda dejando en ridículo el sistema de mitigación de OVH apuntando desde una sola red a pesar de que su red de botnet se extiende mucho más allá haciendo daño a todo el trafico de un país tan grande como España (no es poca cosa).
O... es un fallo en los routers/ont/algo de telefónica que permite generar trafico a voluntad de un atacante.
Por desgracia y como cliente de telefónica me temo que va a ser la segunda por que me parece demasiado rebuscado, sin precedentes, planeado y brillante el primer caso.
Así que la navaja de un señor nos dice que probablemente hay un fallo en los firmware de telefónica, en alguna web de clientes en la app o "ves a saber" pero algo así donde alguien ha podido meter un iframe con refresh o cualquier mierda así para generar ese tráfico desde "una sola red" que más bien será "desde la red vulnerable" me temo.
#54 yo te lo confirmo, nos audito los servers cuando trabajaba yo en telefonica y a mi al menos me dejo claro que de herudito nada, es puro marketing. Su equipo si era bastante bueno en general.
#64 Tu razón tienes. Los cibercriminales crean botnets donde pueden, más que donde quieren.
Vamos a pensar un poco como los malos. Si quiero equipos conectados a la red permanentemente donde el usuario no esté no esté instalndo parches o versiones voy a por los equipos de red. A ser posibles los que más extendidos estén. Sabemos que por ejemplo el Dark Hotel infecta equipos wifi vulnerables al menos desde 2012. Lo instalan en hoteles de cinco estrellas para espiar a otras personas que están en esa red.
Por tanto sabemos que los equipos de red son vulnerables. Los router domésticos son ordenadores muy baratos conextados a red, donde el usuario no formatea nunca ni mete mano, más allá de abrir algún puerto ocasionalmente. Si yo fuera el malo me dedicaría a buscar vulnerabiliades en los router chinos de las operadoras para ver como puedo tener el control remoto de los mismos o como la operadora actualiza el firmware de los mismos para poder instalar mi rootkit de la misma forma que la operadora los actualiza.
#6 Si, pero la cuestión es, ¿para qué? ¿Qué sentido tiene circunscribir el ataque a un ISP? A menos que quieras perjudicar al ISP realmente, y no al atacado...
#4 ¿Acaso es una botnet que sólo afecta a usuarios españoles residentes en España y conectados a redes de Movistar? -> puedes decirle al virus que no actúe en caso de el rango de IPs no pertenezca a las que tenga telefónica asignadas (otra cosa es saber ese rango, que dudo que esté al alcance de cualquiera)
#69 Y están ahí vigilantes para intervenir si hace falta. #2 Claro ahora Chema Alonso te quita los virus del ordenador y te desconecta de la red de telefónica a su antojo, porque es su trabajo.
Como si esto fuera pulsar un botón y ya está. Mucho flipado mediático y mucho experto como dice #54.
#7 Y crees bien. Pero claro, desde la perspectiva de OVH, que controlan nodos y redes enteras y que reciben ataques DDoS continuamente... para ellos unas maquinas no son nada, para ellos un verdadero ataque distribuido es el que proviene de diferentes redes. En definitiva, es un DoS a "nivel de red".
Dicho esto, considero que es incorrecto decir que no es un DDoS.
#111 te voy a contar otro SECRETO que no se muy bien si eres asi de corto o te estas esforzando.. te comento..LA ETAPA DE TELEFONICA de chema alonso es de hace...mm 5-6 años ???
montones de años antes ya era un Hacker super conocido que daba conferencias...
como ya sabras Telefonica compro su empresa Ingormatica64 a base de insistir e insistir y la incorporo a su equipo de seguridad jaciendo a chema el CTO. esto es..no ascendio en Telefonica entro de puto amo con su gorrito porque ya era el puto amo.. espero que esto lo supieras ya y solo te lo haya recordado de lo contrario parecerias un cuñado de forocoches que anda paseandose por aqui.
#127 Efectivamente el problema lleva meses como dices en #126 y hemos tenido una aparente tregua en verano. También es cierto que ha habido otros operadores afectados pero mucho menos. La verdad es que la idea que transmiten casa bastante con los hechos. Por el servicio que mi empresa tiene con ovh hemos notado mucho los problemas y te puedo garantizar que el problema es con movistar al 95% (OVH dicen que los problemas puntuales con otros operadores fueron un experimento que salió mal).
#4el resto de Datacenters, para protegerse y/o prevenir, tomen como precaución banear a todas las IP's de Telefónica España.
Ningún Devops con dos dedos de frente haría semejante barbaridad nunca. Lo de peinar rangos enteros a lo yipi-yai hijos de puta queda bien en las películas de hackers pero en la vida real...
#48 A ver si seguimos leyendo: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España AS12956 Telefonica International AS16276 OVH.
Se han pasado con el titular... Lo único que hay saturado es el enlace OVHTelefónica por un ataque DoS, vale que es algo grave pero de ahí a decir que los datacenters de OVH estén colapsados...
#37 ojo.... los servidores no están caídos y no se ven afectados (al menos los de Europa)... aquí se habla de que los clientes de Movistar no pueden acceder con normalidad porque se está desarrollando un DOS desde esa red.
El ataque se está realizando contra un cliente que tienen en Canadá según dicen.
#4 Alguna vez he conectado un ordenador infectadisimo a internet en una conexion de telefonica y al de pocos minutos me ha llegado un email de que el ordenador estaba infectado. (yo lo sabia, queria actualizarlo, pasarle antivirus etc) (flipe)
#161 te refieres a soluciones anti DDOS, nunca las había oido llamar así, como dices, hacen un analisis del trafico a maquina y no a mano como decía yo, en cualquier caso hay soluciones y los ISP deberían ser menos permisivos con las bootnets.
un conocido me contó una historia de un ISP de internet por satelite, este no tenia contemplación con cualquier cliente que generase trafico malicioso masivo como SPAM o DOS, simplemente por que los enlace satelite están muy limitados y por tanto el ancho de banda es carísimo, y si hay dinero, hay soluciones INMEDIATAS.
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España AS12956 Telefonica International AS16276 OVH.
Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.
En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.
Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit AS3352 Telefónica de España AS12956 Telefonica International AS5511 OpenTransit AS16276 OVH.
Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.
El tráfico nos llega ahora por Level3 AS3356 AS3352 Telefónica de España AS12956 Telefonica International AS3356 Level3 AS16276 OVH.
Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS sin saturar los enlaces entre los operadores.
Seguimos trabajando para solucionar el problema. Estamos en contacto con AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina el DoS. También modificamos nuestras respectivas configuraciones para permitir que el DoS pase entre AS12956 y AS16276.
No podemos ofreceros más detalles, ya que esta intervención será leída por los hackers que han realizado el DoS y utilizarán esta información para saltarse las medidas que implementemos. Esta es también la razón por la que no hemos creado hasta ahora la tarea en Travaux. En los casos de (D)DoS, cuantos menos datos demos, menos incentivamos a los hackers y mejor gestionamos los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes españoles, debíamos informaros sobre el origen del problema.
Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces. En las próximas horas veremos si aguanta. En cualquier caso, estamos manteniendo conversaciones con Telefonica International para aumentar las capacidades con su red. También vamos a instalar un nuevo router en Madrid antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G, OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent. Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en París de 200G y Ashburn, VA, de 200G.
Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más la protección que ofrecemos a nuestros clientes por defecto en nuestros servicios.
Sentimos sinceramente los inconvenientes generados para los visitantes procedentes de Telefónica de España.
Por cierto sobre la definición de DoS o DDoS es cierto que no es muy concreta, pero yo no considero un ataque desde varios equipos como un DoS. Otros como tú lo considerarías respecto a un origen sin importar el número de equipos.
#33 Eso es lo que dicen los antivacunas. Para ti igual no es un problema, pero eres un vector de ataque que puede ser utilizado por un hacker malicioso contra otras personas.
#3 yo tengo un vps pequeñito para desarrollo con ellos (no se me ocurría poner ninguna web de ningun cliente en ovh, prefiero proveedores mas serios) y orange en casa y no he notado el ataque.
#92 OVH es un proveedor barato para andar por casa como puede ser Godaddy o 1and1, para clientes tochos con alta disponibilidad siempre uso amazon, caro pero fiable.
¿Porque? No se cae y su servicio técnico es magnifico.
#70 dudo de que el problema sea de movistar, este problema de OVH viene de hace meses y creeme que seria raro que existe una botnet, solo dentro d ela red de movistar, que ataque solo a servidores de OVH. mas bien parece una saturacion de su conexion y de que no tienen ni puta idea de por que esta flapeando, por eso culpan a otro.
como digo en otro comentario, yo si tengo un problema para que mis clientes se conecten, hago todo lo posible, hablaria con movistar, ampliaria el ancho de banda, probaria a filtar ips etc. pero lo que nunga haria seria decir que el problema lo tiene, ya que son los clientes de OVH los que tiene problemas con OVH.... no se si me explico
correo recibido de noreply@ovh.com ayer por la tarde.
Estimados/as clientes:
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España AS12956 Telefonica International AS16276 OVH.
Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.
En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.
Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit AS3352 Telefónica de España AS12956 Telefonica International AS5511 OpenTransit AS16276 OVH.
Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.
El tráfico nos llega ahora por Level3 AS3356 AS3352 Telefónica de España AS12956 Telefonica International AS3356 Level3 AS16276 OVH.
Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS sin saturar los enlaces entre los operadores.
Seguimos trabajando para solucionar el problema. Estamos en contacto con AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina el DoS. También modificamos nuestras respectivas configuraciones para permitir que el DoS pase entre AS12956 y AS16276.
No podemos ofreceros más detalles, ya que esta intervención será leída por los hackers que han realizado el DoS y utilizarán esta información para saltarse las medidas que implementemos. Esta es también la razón por la que no hemos creado hasta ahora la tarea en Travaux. En los casos de (D)DoS, cuantos menos datos demos, menos incentivamos a los hackers y mejor gestionamos los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes españoles, debíamos informaros sobre el origen del problema.
Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces. En las próximas horas veremos si aguanta. En cualquier caso, estamos manteniendo conversaciones con Telefonica International para aumentar las capacidades con su red. También vamos a instalar un nuevo router en Madrid antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G, OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent. Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en París de 200G y Ashburn, VA, de 200G.
Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más la protección que ofrecemos a nuestros clientes por defecto en nuestros servicios.
Sentimos sinceramente los inconvenientes generados para los visitantes procedentes de Telefónica de España.
#57 Yo no discutí si era un DDoS o no, yo discutí lo que tú dijiste y en tu comentario no mentas el DDoS/DoS para nada, tan solo te ríes de que "Claro porque todos los ordenadores de la red de Telefonica están en un solo lugar. "
Pues sí, todos los ordenadores de la red de telefónica que participan en el ataque están en un mismo lugar: España. ¿cuál es el problema?
En cuanto a si es DDoS o DoS, supongo que lo nombran así para hacer distinción con un DDoS distribuido entre varias redes o países distintos, algo que sí podrían soportar.
#63 Creo que el uso que hace OVH de "DDoS" y de "DoS" ya ha sido contestado, pero si te querías referir a eso, entonces no te has expresado muy bien, pero vale.
#36 Si lees bien el email que mandó ovh, indican que en algunos de los intentos por mitigar el problema cambiaron las rutas, para que los clientes de movistar saliesen por el enlace de Opentransit y en esas pruebas se saturó igualmente el enlace pero afectando a otros operadores que salen por OT. Por lo cual volvieron a cambiar las rutas para ampliar algo el ancho de banda pero sin que afectase a otros operadores.
#6 Si no recuerdo mal, de una busqueda antigua, el reparto de IPs es publico, mas que nada porque cada ISP no puede servir las ips que le de la gana. Luego si saco un rato te lo busco, recuerdo haberlo tenido que buscar ya, no recuerdo que andaba programando que lo necesité.
#43 también se puede usar en Win un usuario restringido para todo y un administrador para ciertas instalaciones/ mantenimientos. Usar GNU/Linux es Win Win, claro.
#142 No, un DDoS estándar no satura enlaces con cientos de Gbps de capacidad, satura los servidores/firewalls/red de destino. A ver, que lo podemos llamar como nos salga del ciruelo, era por explicar la diferencia entre un DDoS normal y porque a este lo estan llamando DoS a secas.
#44 En Telefónica lo saben, pero seguramente no hayan avisado al CAT y los clientes estén pegándose con ellos (es lo que suele pasar), y estarán hablando con OVH y diciéndoles que es culpa suya por *introduzca aquí el motivo*. Siempre hacen lo mismo.
#44 " Los equipos infectados son clientes de telefónica y por tanto responsabilidad de telefónica, si no cumplen con la legalidad, se les corta la conexión hasta que lo resuelvan."
¿Como coño va a ser responsabilidad de Telefonica lo que hagan sus clientes con sus ordenadores?
#5 está como muy de moda rajar de OVH pero yo en cinco años no he tenido ningún problema serio, como mucho algún corte muy puntual y solo un par de veces. Eso sí, tenemos servidores dedicados y configurados por nosotros, (en el foro de dedicados muchas de las quejas en el fondo son por no saber como configurar los servidores pero es que no són servidores administrados, joder!)
#3 OVH con telefonica nunca ha ido bien, tengo un servidor en OVH y nunca he podido bajar a mas de 900kb/s los fines de semana. (tengo 300/30) y según los tests de velocidad lo verifican. Tengo que usar una VPN en ramnode para poder bajar a los 300mbits de rigor.
#90 ¿tu sabes lo que son los condiciones del servicio?
pues las aceptas cada vez que contratas un servicio de telecomunicaciones, se incluyen detallitos como que no harás cosas ilegales, mas que nada por que al que van a pedir responsabilidades es al operador, y este deberá investigar y resolver la incidencia.
#112 pues estas mal informado, hace 1 año andaba por alli aún ¿O seria su hermano gemelo?
Será el puto amo para ti, a mi no me parecio ningún erudito aunque su equipo si era muy bueno.
P.D. la educación es lo último que se debe perder y si lo que buscas es enmierdar la discusión al menos con migo no lo vas a conseguir. Xao que te vaya bien.
#119 veo que tienes poquita experiencia en el tema, como tú máquina mande spam o este realizando un ataque a otra ( aunque sea tuya y estés haciendo una auditoría de seguridad), cualquier ISP SERIO te chapa la conexion y después pregunta.
#26 No han querido dar datos concretos en el Email para evitar dar pistas, indican que les ha sorprendido que no fuese un DDoS, frente a lo que estaban preparados.Al parecer el ataque no es distribuido y si lo es, no es al mismo tiempo (seria factible que una botnet solo atacase desde un host cada vez cada X segundos y después pasase a otro ¿pero 150Gbps? )
Por mucho que odies a Telefónica los comentarios desagradables para esta compañía no creo que tengan cabiada en este caso. Una cosa son sun prácticas comerciales, que en muchos casos son miserables, y la mala atención al cliente particular y a la PYME que tienen y otra cosa es la calidad de sus redes y sus abundantes despliegues que le hacen ser el cuarto grupo operador de telecomunicaciones del mundo.
Estamos ante un hacker malicioso que quería mandar mucho tráfico a un cliente para saturarle y ha usado la red que ha creído más oportuna inyectando una gran cantidad de tráfico. El ataque no ha tenido el resultado esperado porque los enlaces se han saturado antes de saturar el servidor o servidores destino o los equipos de red próximos al mismo.
Seguramente los delicuentes (no tiene otro nombre quien se dedica a hacer estas cosas) tiene infectados numerosos equipos que son clientes de Telefónica (y de otras operadoras del grupo en el mundo) y los han utilizado para atacar a un objetivo. Esos equipos no son propiedad de telefónica, lo son de los usuarios que mantienen versiones antiguas o bien el delinciente ha aprovechado una vulnerabilidad aún no parcheada para hacerse con el control de los equipos.
#26 Porque les llegan todas las peticiones por el mismo canuto. Internet en este aspecto es como un árbol. Las hojas son nuestros routers pero según vas pa arriba son cada vez tubos mas gordos. Cuando intentas meter mas Gbps por el tubo de los que caben, en canuto se satura y empieza la perdida de datos. En un DDoS te llega parte de los ataques por un canuto y el resto por otros. Tu pones un filtro en cada canuto, descartas los paquetes malos dejando pasar los buenos (identificados por origen normalmente) y pa'lante. Pero aquí les llegan todas por el mismo canuto. Y de hecho según cuentan, como el canuto se satura antes de llegar a su filtro ellos apenas pueden hacer nada.
La imagen es solo un ejemplo sacado rápido de google images, ni idea de como de fidedigna es.
#3 Si, llevamos así desde la semana pasada, de vez en cuando sobre todo por las mañanas se pierden muchos paquetes, lo peor fue el viernes si no me equivoco, estuvimos asi toda la mañana con más del 50% de pérdidas y en muchos momentos con el 100%
#29 En realidad, y viendo que Telefonica de España es incapaz de apagar su incendio ( la botnet que le han creado ) se resolveria la saturacion aumentando el caudal entre las propias empresas de telefonica, que es el cuello de botella ( ya les vale ). Desgraciadamente les va a ser mas rapido trabajar con otros proveedores para enlazar su AS con el de Tiws via Frankfurt que dos empresas de Telefonica, con todo el politiqueo, se entiendan y hagan algo a la vez.
#51 Los virus se contagian por el ambiente o entre personas. Imagina que fuera en un traje antiepidemiológico, pues eso hago con mi PC. Las vacunas no consumen recursos de mi sistema inmune.
Pues los antivirus sí consumen recursos, como mucho hago un escaneo de vez en cuando. Y lo más importante, prevención. Yo no instalo mierdas ni gestores de descarga de Softonic.
#121 Nop, no he visto nada de lo que dices, solo alguna "presentación" el alguna CON, y alguna conversación con el mismo en alguna comida. Mi impresión personal sigue siendo la misma, no es ningún flipao.
Sigo sin saber porque le llaman DoS y no DDoS. Ya que no importa los sistemas autónomos (ASXXXXX donde las X son números) sino que en el momento que proviene de una botnet, es un ataque distribuido, con lo cual es un DDoS. Ya que un DoS sólo puede venir de una única IP y un único equipo, en el momento que hay varios, ya es un DDoS.
OVH si dice que un DoS me imagino que se refiere a que sólo viene de una una ruta concreta, pero bueno sigue siendo un DDoS (incluso aunque toda esa infraestructura usada pertenezca a un sólo atacante. Ya que eso poco importa puesto que el que sea un DoS o DDoS tiene que ver con los equipos físicamente hablando no con las personas que los usen, por decirlo resumidamente) como muchos compañeros decís.
Por otro lado aunque el correo electrónico de OVH es más que claro. Lo cierto es que las empresas tienen la obligación de informar a los clientes de incidentes graves de seguridad. Y más dentro de unos años cuando entre en vigor el Reglamentos de Protección de Datos, La Directiva de e-Privacidad y la reciente aprobación de la Directiva de ciberseguridad, que obliga a esta clase de informaciones.
Sobre el tema de la responsabilidad. Que una persona tenga un ordenador zombie, no significa que no tenga cierta responsabilidad de que sea así. Mucha gente debería de mejorar sus conocimientos es seguridad y no sólo el poner un antivirus-cortafuegos o una suite de seguridad sino en no dejarse engañar por enlaces falsos y webs de dudosa legalidad.
Que se jodan! A mi me jodieron en un proyecto teras de información por un error suyo de facturación. Cuidado con OVH, son un peligro y encima te tratan fatal después!
#29 Eso dice la teoria pero las pruebas han mostrado que esos ataques han afectado a todos los operadores en mayor o menor medida. Se puede consultar el histórico en smokeping.ovh.net. No se si por generar trafico en el punto neutro de espanix o que...
#5 Pues debe ser tu caso porque si buscas un poco por internet te encuentras con lo mismo: buen servicio pero que el soporte técnico deja bastante que desear. En mi caso el servidor tuvo microcortes el Jueves, el Viernes noche se cayó y hasta el Lunes, que llame al dichoso 902, no tuve respuesta alguna. Además cuando llame me dijeron "no hay ninguna incidencia, ni la semana pasada" cuando sabía que era totalmente mentira. Y lo único que recibí es el email tipo que tenéis todos.
#81 Será.. o no... Tal como viene explicado en un correo parece que solamente sucediese una vez. Sin embargo llevamos una semana bonita entre todos los operadores.
si el servidor tuvo problemas son independientes al ataque este, porque yo tengo ONO y en mi empresa administramos al menos una quincena de servidores en OVH (más los míos personales) y 0 problemas y 0 lentitud... y te puedo decir porque aparte de administrar los servidores estuve toda la semana trabajando en uno día y noche
Es box populi que los routers de timofónica tienen más agujeros de seguridad que un colador del chino. Es posible que el araque se genere directamente desde los routers que dan conexion a los clientes. Es mucho más fácil infectar un rango entero de routers que esperar a infectar a tantos clientes.
Ya que nos ponemos a especular con que son los clientes y no la gran T, que tal si le damos la vuelta y vemos una clara responsabilidad en la empresa al no mantener los routers en buen estado de seguridad?
Saludos
#44 telefonica tiene varios escudos, uno de ellos España, pero protege destinos, no orígenes. Es técnicamente bastante complejo solucionar rápidamente un ataque así
Comentarios
#5 Este es el correo completo que hemos recibido los clientes de OVH:
Estimados/as clientes:
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España AS12956 Telefonica International AS16276 OVH.
Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.
En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.
Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit AS3352 Telefónica de España AS12956 Telefonica International AS5511 OpenTransit AS16276 OVH.
Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.
El tráfico nos llega ahora por Level3 AS3356 AS3352 Telefónica de España AS12956 Telefonica International AS3356 Level3 AS16276 OVH.
Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS sin saturar los enlaces entre los operadores.
Seguimos trabajando para solucionar el problema. Estamos en contacto con AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina el DoS. También modificamos nuestras respectivas configuraciones para permitir que el DoS pase entre AS12956 y AS16276.
No podemos ofreceros más detalles, ya que esta intervención será leída por los hackers que han realizado el DoS y utilizarán esta información para saltarse las medidas que implementemos. Esta es también la razón por la que no hemos creado hasta ahora la tarea en Travaux. En los casos de (D)DoS, cuantos menos datos demos, menos incentivamos a los hackers y mejor gestionamos los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes españoles, debíamos informaros sobre el origen del problema.
Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces. En las próximas horas veremos si aguanta. En cualquier caso, estamos manteniendo conversaciones con Telefonica International para aumentar las capacidades con su red. También vamos a instalar un nuevo router en Madrid antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G, OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent. Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en París de 200G y Ashburn, VA, de 200G.
Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más la protección que ofrecemos a nuestros clientes por defecto en nuestros servicios.
Sentimos sinceramente los inconvenientes generados para los visitantes procedentes de Telefónica de España.
http://gsw.smokeping.ovh.net/smokeping?&target=EU.AS3352
Cordialmente,
Octave
#54 Hombre, ya sabemos que los auténticos expertos (en todo) están en menéame.
soy cliente de OVH y simplemente quería agradecer a esta compañía su trato al cliente y capacidad de reacción ante problemas, llevo contratándoles servidores unos 7 u 8 años ya y siempre que ha habido algún fallo crítico han respondido de forma muy satisfactoria a los tickets de ayuda... igualito a las telecos de este país!... como se agradecen cuando una compañía a la que pagas asume su responsabilidad ante un problema, te informa y toma medidas. A ver ahora si telefónica hace algo parecido con su parte de culpa y la responsabilidad para con sus clientes.
Chema Alonso tienes trabajo que hacer.
#2 personalmente, creo que chema tiene más de flipao mediático que de experto...
#5 ¿Has comprado ya una silla?
El nivel de detalle del correo de OVH es para que se te caigan las pelotas al suelo.
>
#7 Si no me equivoco, la diferencia está en que, en este caso, al venir el ataque desde la misma red, lo que se ha saturado no son los propios servidores de OVH sino la conexión que tiene telefónica con OVH. Realmente tenéis problemas de acceso los que están en la red de Telefónica, el resto debería pasar sin problemas (al igual que desde otros países). Según pone la propia OVH en su correo, ellos serían capaces de bloquear el ataque si llegara a sus servidores, pero es que el cuello de botella está en la conexión Telefónica-OVH, y es Telefónica la que tiene que hacer el trabajo. Por eso pone en el correo que están en conversaciones con ellos.
Según el correo, lo que han decidido es aumentar el tamaño de la conexión para intentar que no se forme ese cuello de botella. Pero eso será en Octubre.
Ahora, mas que nunca...
TIMOFONICA
Siempre Jodiendo.
Nos caiga mejor o peor Telefónica, no es culpa de ellos sino de sus clientes. Lo que me da miedo es que el resto de Datacenters, para protegerse y/o prevenir, tomen como precaución banear a todas las IP's de Telefónica España.
Lo que tienen que hacer es ponerse en contacto con OVH para obtener una lista de las IP's desde las que se ha lanzado el DoS, averiguar sus propietarios y contactar con ellos para avisarles que tienen un problema con sus equipos conectados a su red, que están siendo usados de manera ilícita para sabotear redes y servidores, y ya puestos, advertirles que sus equipos están en riesgo por estar bajo el control de otros.
Cosas aparte, ¿ya han identificado qué tipo de botnet es la causante?. Lo extrañamente curioso es que sólo se circunscribe al ámbito Telefónica España (o sea, España). ¿Acaso es una botnet que sólo afecta a usuarios españoles residentes en España y conectados a redes de Movistar?. Pues que me aspen pero sería una botnet de lo más raro raro raro que jamás haya visto en mi vida. Esto me parece que va a traer algo de debate en el mundillo de la seguridad informática.
#3 Hace un par de días, ni cargaban los paneles de administración ni la principal de su WEB, en cambio FTP al 70% y WEB con un poco más de latencia de lo normal y algunos cortes muy puntuales. Ahora parece funcionar de forma decente, supongo que fue el inicio.
#4 Vamos a ver:
- La bootnet solo usa equipos en la red de telefónica, para saturar el enlace de ovh con telefónica (150G/s), si fuera distribuido tienen mucho mas ancho de banda y no lo podrían saturar con este ancho de banda.
- Los equipos infectados son clientes de telefónica y por tanto responsabilidad de telefónica, si no cumplen con la legalidad, se les corta la conexión hasta que lo resuelvan.
- Es un ataque de inundación de trafico y por tanto al 99% estará espufeadas las IPs origen (falsificadas) con lo que no se puede filtrar una dirección IP, además el problema no está en OVH, si no que los enlaces ya llegan saturados de trafico y solo telefónica podría filtrarlo antes de salir de sus redes (por mucho que cierre la puerta de mi casa, de poco va a servir si la gente se agolpa en la puerta para entrar)
A mi juicio, telefónica es un colaborador necesario de este ataque, eso si, estoy convencido que es incapacidad y no malicia, pero bueno, viniendo de telefónica quien sabe.
Según comentó Octave, el CEO de OVH, el ataque viene de cámaras IP, casi 69.000 con usuario y contraseña por defecto, hackeadas para hacer un DoS.
#57 Para el que lanza el ataque puede ser distribuído, pero para el que lo recibe no tiene por qué serlo. Si todas las máquinas atacantes están en una misma red y te llegan todas por el mismo sitio para quien tiene que mitigar el ataque la estrategia es distinta que si le llega por varios lugares.
Si equipos de muchos países pertenecen a redes conectadas entre si y todas comunican con la misma red de transporte que a su vez comunica con el objetivo del ataque y va todo enrutado por ahí para el defensor sigue sin ser distribuido. Incluso aunque el atacante haya tenido que lograr vulnerar las medidas de seguridad por separado de cada una de las redes donde están los equipos que quiere usar para atacar. Puede que con esa botnet atacando a otro objetivo distinto el etaque si que sea distribuido porque los clientes de una partición de red conectan por un enlace distinto que los de la otra partición de la red.
ME ha encantado la carta que nos has escrito a los clientes
#58 Al contrario:
O es muy listo y ha pensado en joder los enlaces y liarla parda dejando en ridículo el sistema de mitigación de OVH apuntando desde una sola red a pesar de que su red de botnet se extiende mucho más allá haciendo daño a todo el trafico de un país tan grande como España (no es poca cosa).
O... es un fallo en los routers/ont/algo de telefónica que permite generar trafico a voluntad de un atacante.
Por desgracia y como cliente de telefónica me temo que va a ser la segunda por que me parece demasiado rebuscado, sin precedentes, planeado y brillante el primer caso.
Así que la navaja de un señor nos dice que probablemente hay un fallo en los firmware de telefónica, en alguna web de clientes en la app o "ves a saber" pero algo así donde alguien ha podido meter un iframe con refresh o cualquier mierda así para generar ese tráfico desde "una sola red" que más bien será "desde la red vulnerable" me temo.
#84 Herudito es el hijo pequeño de Herodes ¿no?
#54 yo te lo confirmo, nos audito los servers cuando trabajaba yo en telefonica y a mi al menos me dejo claro que de herudito nada, es puro marketing. Su equipo si era bastante bueno en general.
#64 Tu razón tienes. Los cibercriminales crean botnets donde pueden, más que donde quieren.
Vamos a pensar un poco como los malos. Si quiero equipos conectados a la red permanentemente donde el usuario no esté no esté instalndo parches o versiones voy a por los equipos de red. A ser posibles los que más extendidos estén. Sabemos que por ejemplo el Dark Hotel infecta equipos wifi vulnerables al menos desde 2012. Lo instalan en hoteles de cinco estrellas para espiar a otras personas que están en esa red.
Por tanto sabemos que los equipos de red son vulnerables. Los router domésticos son ordenadores muy baratos conextados a red, donde el usuario no formatea nunca ni mete mano, más allá de abrir algún puerto ocasionalmente. Si yo fuera el malo me dedicaría a buscar vulnerabiliades en los router chinos de las operadoras para ver como puedo tener el control remoto de los mismos o como la operadora actualiza el firmware de los mismos para poder instalar mi rootkit de la misma forma que la operadora los actualiza.
#6 Si, pero la cuestión es, ¿para qué? ¿Qué sentido tiene circunscribir el ataque a un ISP? A menos que quieras perjudicar al ISP realmente, y no al atacado...
#4 ¿Acaso es una botnet que sólo afecta a usuarios españoles residentes en España y conectados a redes de Movistar? -> puedes decirle al virus que no actúe en caso de el rango de IPs no pertenezca a las que tenga telefónica asignadas (otra cosa es saber ese rango, que dudo que esté al alcance de cualquiera)
#69 Y están ahí vigilantes para intervenir si hace falta. #2 Claro ahora Chema Alonso te quita los virus del ordenador y te desconecta de la red de telefónica a su antojo, porque es su trabajo.
Como si esto fuera pulsar un botón y ya está. Mucho flipado mediático y mucho experto como dice #54.
#7 Y crees bien. Pero claro, desde la perspectiva de OVH, que controlan nodos y redes enteras y que reciben ataques DDoS continuamente... para ellos unas maquinas no son nada, para ellos un verdadero ataque distribuido es el que proviene de diferentes redes. En definitiva, es un DoS a "nivel de red".
Dicho esto, considero que es incorrecto decir que no es un DDoS.
Y a mí que esto me huele ataque de telefónica a servidores cccam... Muchos de ellos alojados en ovh
#21 peores son los que dicen que las actualizaciones de los sistemas operativos (cualquiera) son innecesarias.
Ayer me llegó el aviso de OVH y pensé que tenía que ser realmente grave para enviarlo... ya no tengo nada con ellos, pero se les ve apurados.
#111 te voy a contar otro SECRETO que no se muy bien si eres asi de corto o te estas esforzando.. te comento..LA ETAPA DE TELEFONICA de chema alonso es de hace...mm 5-6 años ???
montones de años antes ya era un Hacker super conocido que daba conferencias...
como ya sabras Telefonica compro su empresa Ingormatica64 a base de insistir e insistir y la incorporo a su equipo de seguridad jaciendo a chema el CTO. esto es..no ascendio en Telefonica entro de puto amo con su gorrito porque ya era el puto amo.. espero que esto lo supieras ya y solo te lo haya recordado de lo contrario parecerias un cuñado de forocoches que anda paseandose por aqui.
Esos ataques deben ser lo que quire Timofonica que le cobremos a Google nosotros, jajaja.
#5 La misma que he recibido yo. Me ha parecido correctísima, al nivel de lo que esperaba de mi empresa de VPS
#127 Efectivamente el problema lleva meses como dices en #126 y hemos tenido una aparente tregua en verano. También es cierto que ha habido otros operadores afectados pero mucho menos. La verdad es que la idea que transmiten casa bastante con los hechos. Por el servicio que mi empresa tiene con ovh hemos notado mucho los problemas y te puedo garantizar que el problema es con movistar al 95% (OVH dicen que los problemas puntuales con otros operadores fueron un experimento que salió mal).
#3 si, muchos clientes nos han trasladado quejas de clientes suyos que no podían acceder a los servidores que tienen contratados en OVH
#4 el resto de Datacenters, para protegerse y/o prevenir, tomen como precaución banear a todas las IP's de Telefónica España.
Ningún Devops con dos dedos de frente haría semejante barbaridad nunca. Lo de peinar rangos enteros a lo yipi-yai hijos de puta queda bien en las películas de hackers pero en la vida real...
#48 A ver si seguimos leyendo: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España AS12956 Telefonica International AS16276 OVH.
#4 #32 A parte de que sería inútil porque el ataque ni siquiera estaba llegando a ovh, se quedaba en medio del camino porque se saturaban los enlaces.
¿Alguien que tenga contratado OVH está notando los efectos de este ataque?
Se han pasado con el titular... Lo único que hay saturado es el enlace OVHTelefónica por un ataque DoS, vale que es algo grave pero de ahí a decir que los datacenters de OVH estén colapsados...
#129 A través de exploits, 0-days...
http://www.genbeta.com/seguridad/pero-como-se-puede-infectar-mi-ordenador-si-solo-he-visitado-una-web
http://blog.elhacker.net/2015/03/0day-adobe-flash-player-bedep-usa-anuncios-publicidad.html
#7 Al parecer es solo un DoS, eso si de 150Gbps y circunscrito específicamente a la red de Telefónica España.
#37 ojo.... los servidores no están caídos y no se ven afectados (al menos los de Europa)... aquí se habla de que los clientes de Movistar no pueden acceder con normalidad porque se está desarrollando un DOS desde esa red.
El ataque se está realizando contra un cliente que tienen en Canadá según dicen.
#4 Alguna vez he conectado un ordenador infectadisimo a internet en una conexion de telefonica y al de pocos minutos me ha llegado un email de que el ordenador estaba infectado. (yo lo sabia, queria actualizarlo, pasarle antivirus etc) (flipe)
Movistar fusión usura neverforget
#114 un jefe de telefónica
Alli hay mas jefes que indios
#151 eso es una chorrada como una casa.
Linuxero en casa y en el trabajo desde 2001.
#43 No, estrictas medidas de prevención. Y que no pasa un pen por los puertos de mi PC sin leerle el historial.
#88 ¿Mas serios? ¿Quienes y por qué?
#161 te refieres a soluciones anti DDOS, nunca las había oido llamar así, como dices, hacen un analisis del trafico a maquina y no a mano como decía yo, en cualquier caso hay soluciones y los ISP deberían ser menos permisivos con las bootnets.
un conocido me contó una historia de un ISP de internet por satelite, este no tenia contemplación con cualquier cliente que generase trafico malicioso masivo como SPAM o DOS, simplemente por que los enlace satelite están muy limitados y por tanto el ancho de banda es carísimo, y si hay dinero, hay soluciones INMEDIATAS.
#3 yo solo noto problemas contra battle.net contra ovh 0 problemas.
#83 Halaaaaa que superjuacker. ¿Mojaste las bragas cuando le viste en directo?
#107 te voy a contar un secreto, no siempre triunfan los mas listos y menos en telefónica
#143 Lo sé por esto:
Estimados/as clientes:
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España AS12956 Telefonica International AS16276 OVH.
Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.
En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.
Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit AS3352 Telefónica de España AS12956 Telefonica International AS5511 OpenTransit AS16276 OVH.
Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.
El tráfico nos llega ahora por Level3 AS3356 AS3352 Telefónica de España AS12956 Telefonica International AS3356 Level3 AS16276 OVH.
Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS sin saturar los enlaces entre los operadores.
Seguimos trabajando para solucionar el problema. Estamos en contacto con AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina el DoS. También modificamos nuestras respectivas configuraciones para permitir que el DoS pase entre AS12956 y AS16276.
No podemos ofreceros más detalles, ya que esta intervención será leída por los hackers que han realizado el DoS y utilizarán esta información para saltarse las medidas que implementemos. Esta es también la razón por la que no hemos creado hasta ahora la tarea en Travaux. En los casos de (D)DoS, cuantos menos datos demos, menos incentivamos a los hackers y mejor gestionamos los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes españoles, debíamos informaros sobre el origen del problema.
Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces. En las próximas horas veremos si aguanta. En cualquier caso, estamos manteniendo conversaciones con Telefonica International para aumentar las capacidades con su red. También vamos a instalar un nuevo router en Madrid antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G, OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent. Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en París de 200G y Ashburn, VA, de 200G.
Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más la protección que ofrecemos a nuestros clientes por defecto en nuestros servicios.
Sentimos sinceramente los inconvenientes generados para los visitantes procedentes de Telefónica de España.
Por cierto sobre la definición de DoS o DDoS es cierto que no es muy concreta, pero yo no considero un ataque desde varios equipos como un DoS. Otros como tú lo considerarías respecto a un origen sin importar el número de equipos.
Salu2
#3 Nosotros no hemos tenido problemas pero la carga de nuestras máquinas es mínima
#33 Eso es lo que dicen los antivacunas. Para ti igual no es un problema, pero eres un vector de ataque que puede ser utilizado por un hacker malicioso contra otras personas.
#3 yo tengo un vps pequeñito para desarrollo con ellos (no se me ocurría poner ninguna web de ningun cliente en ovh, prefiero proveedores mas serios) y orange en casa y no he notado el ataque.
#92 OVH es un proveedor barato para andar por casa como puede ser Godaddy o 1and1, para clientes tochos con alta disponibilidad siempre uso amazon, caro pero fiable.
¿Porque? No se cae y su servicio técnico es magnifico.
#102 ¿Yo he dicho que sea un inútil? solo digo que no es tan bueno como pretende hacer creer...
#70 dudo de que el problema sea de movistar, este problema de OVH viene de hace meses y creeme que seria raro que existe una botnet, solo dentro d ela red de movistar, que ataque solo a servidores de OVH. mas bien parece una saturacion de su conexion y de que no tienen ni puta idea de por que esta flapeando, por eso culpan a otro.
como digo en otro comentario, yo si tengo un problema para que mis clientes se conecten, hago todo lo posible, hablaria con movistar, ampliaria el ancho de banda, probaria a filtar ips etc. pero lo que nunga haria seria decir que el problema lo tiene, ya que son los clientes de OVH los que tiene problemas con OVH.... no se si me explico
correo recibido de noreply@ovh.com ayer por la tarde.
Estimados/as clientes:
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España AS12956 Telefonica International AS16276 OVH.
Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.
En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.
Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit AS3352 Telefónica de España AS12956 Telefonica International AS5511 OpenTransit AS16276 OVH.
Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.
El tráfico nos llega ahora por Level3 AS3356 AS3352 Telefónica de España AS12956 Telefonica International AS3356 Level3 AS16276 OVH.
Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS sin saturar los enlaces entre los operadores.
Seguimos trabajando para solucionar el problema. Estamos en contacto con AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina el DoS. También modificamos nuestras respectivas configuraciones para permitir que el DoS pase entre AS12956 y AS16276.
No podemos ofreceros más detalles, ya que esta intervención será leída por los hackers que han realizado el DoS y utilizarán esta información para saltarse las medidas que implementemos. Esta es también la razón por la que no hemos creado hasta ahora la tarea en Travaux. En los casos de (D)DoS, cuantos menos datos demos, menos incentivamos a los hackers y mejor gestionamos los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes españoles, debíamos informaros sobre el origen del problema.
Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces. En las próximas horas veremos si aguanta. En cualquier caso, estamos manteniendo conversaciones con Telefonica International para aumentar las capacidades con su red. También vamos a instalar un nuevo router en Madrid antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G, OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent. Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en París de 200G y Ashburn, VA, de 200G.
Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más la protección que ofrecemos a nuestros clientes por defecto en nuestros servicios.
Sentimos sinceramente los inconvenientes generados para los visitantes procedentes de Telefónica de España.
http://gsw.smokeping.ovh.net/smokeping?&target=EU.AS3352
Cordialmente,
Octave
#57 Yo no discutí si era un DDoS o no, yo discutí lo que tú dijiste y en tu comentario no mentas el DDoS/DoS para nada, tan solo te ríes de que "Claro porque todos los ordenadores de la red de Telefonica están en un solo lugar. "
Pues sí, todos los ordenadores de la red de telefónica que participan en el ataque están en un mismo lugar: España. ¿cuál es el problema?
En cuanto a si es DDoS o DoS, supongo que lo nombran así para hacer distinción con un DDoS distribuido entre varias redes o países distintos, algo que sí podrían soportar.
#63 Creo que el uso que hace OVH de "DDoS" y de "DoS" ya ha sido contestado, pero si te querías referir a eso, entonces no te has expresado muy bien, pero vale.
#36 Si lees bien el email que mandó ovh, indican que en algunos de los intentos por mitigar el problema cambiaron las rutas, para que los clientes de movistar saliesen por el enlace de Opentransit y en esas pruebas se saturó igualmente el enlace pero afectando a otros operadores que salen por OT. Por lo cual volvieron a cambiar las rutas para ampliar algo el ancho de banda pero sin que afectase a otros operadores.
#14 #22 #78 #82 El DOS está dirigido a pordede.com (149.56.155.129) por lo que no creo
#117 ¿Crack incuestionable? has leído algún código que haya escrito alguna tesis? ¿se puede saber en qué te basas?
#6 Si no recuerdo mal, de una busqueda antigua, el reparto de IPs es publico, mas que nada porque cada ISP no puede servir las ips que le de la gana. Luego si saco un rato te lo busco, recuerdo haberlo tenido que buscar ya, no recuerdo que andaba programando que lo necesité.
#43 también se puede usar en Win un usuario restringido para todo y un administrador para ciertas instalaciones/ mantenimientos. Usar GNU/Linux es Win Win, claro.
#142 No, un DDoS estándar no satura enlaces con cientos de Gbps de capacidad, satura los servidores/firewalls/red de destino. A ver, que lo podemos llamar como nos salga del ciruelo, era por explicar la diferencia entre un DDoS normal y porque a este lo estan llamando DoS a secas.
#20 Los símbolos ahí me distraen muchísimo.
#9 pues sí, tienes razón. Yo pensaba que no lo estaría (que tampoco lo sabía)
http://www.redeszone.net/2011/01/25/listado-de-rangos-de-ip-utilizados-por-los-operadores-en-espana-ipv4/
#44 En Telefónica lo saben, pero seguramente no hayan avisado al CAT y los clientes estén pegándose con ellos (es lo que suele pasar), y estarán hablando con OVH y diciéndoles que es culpa suya por *introduzca aquí el motivo*. Siempre hacen lo mismo.
#65 para ataques creo que da más rendimiento hackear chatarra que PCs. Encima suele ser más sencillo y hay mucha menos supervisión.
#44 " Los equipos infectados son clientes de telefónica y por tanto responsabilidad de telefónica, si no cumplen con la legalidad, se les corta la conexión hasta que lo resuelvan."
¿Como coño va a ser responsabilidad de Telefonica lo que hagan sus clientes con sus ordenadores?
#5 está como muy de moda rajar de OVH pero yo en cinco años no he tenido ningún problema serio, como mucho algún corte muy puntual y solo un par de veces. Eso sí, tenemos servidores dedicados y configurados por nosotros, (en el foro de dedicados muchas de las quejas en el fondo son por no saber como configurar los servidores pero es que no són servidores administrados, joder!)
#3 OVH con telefonica nunca ha ido bien, tengo un servidor en OVH y nunca he podido bajar a mas de 900kb/s los fines de semana. (tengo 300/30) y según los tests de velocidad lo verifican. Tengo que usar una VPN en ramnode para poder bajar a los 300mbits de rigor.
#90 ¿tu sabes lo que son los condiciones del servicio?
pues las aceptas cada vez que contratas un servicio de telecomunicaciones, se incluyen detallitos como que no harás cosas ilegales, mas que nada por que al que van a pedir responsabilidades es al operador, y este deberá investigar y resolver la incidencia.
#112 pues estas mal informado, hace 1 año andaba por alli aún ¿O seria su hermano gemelo?
Será el puto amo para ti, a mi no me parecio ningún erudito aunque su equipo si era muy bueno.
P.D. la educación es lo último que se debe perder y si lo que buscas es enmierdar la discusión al menos con migo no lo vas a conseguir. Xao que te vaya bien.
#119 veo que tienes poquita experiencia en el tema, como tú máquina mande spam o este realizando un ataque a otra ( aunque sea tuya y estés haciendo una auditoría de seguridad), cualquier ISP SERIO te chapa la conexion y después pregunta.
#26 No han querido dar datos concretos en el Email para evitar dar pistas, indican que les ha sorprendido que no fuese un DDoS, frente a lo que estaban preparados.Al parecer el ataque no es distribuido y si lo es, no es al mismo tiempo (seria factible que una botnet solo atacase desde un host cada vez cada X segundos y después pasase a otro ¿pero 150Gbps? )
http://www.security-faqs.com/dos-vs-ddos-what-is-the-difference.html
Por mucho que odies a Telefónica los comentarios desagradables para esta compañía no creo que tengan cabiada en este caso. Una cosa son sun prácticas comerciales, que en muchos casos son miserables, y la mala atención al cliente particular y a la PYME que tienen y otra cosa es la calidad de sus redes y sus abundantes despliegues que le hacen ser el cuarto grupo operador de telecomunicaciones del mundo.
Estamos ante un hacker malicioso que quería mandar mucho tráfico a un cliente para saturarle y ha usado la red que ha creído más oportuna inyectando una gran cantidad de tráfico. El ataque no ha tenido el resultado esperado porque los enlaces se han saturado antes de saturar el servidor o servidores destino o los equipos de red próximos al mismo.
Seguramente los delicuentes (no tiene otro nombre quien se dedica a hacer estas cosas) tiene infectados numerosos equipos que son clientes de Telefónica (y de otras operadoras del grupo en el mundo) y los han utilizado para atacar a un objetivo. Esos equipos no son propiedad de telefónica, lo son de los usuarios que mantienen versiones antiguas o bien el delinciente ha aprovechado una vulnerabilidad aún no parcheada para hacerse con el control de los equipos.
#3 Todos nuestros programas en la nube se alojan en OVH y no hay ni un solo cliente que pueda acceder. Tenemos un marrón de tres pares
#102 Ni tampoco por ser un genio, ni siquiera bueno, invitan a gente del ámbito de la seguridad por varios motivos, desde genios, relevantes u otros.
Que conste que personalmente no se si es solo marketing y "es relativamente bueno" o es muy bueno, y la verdad que me la suda.
#26 Porque les llegan todas las peticiones por el mismo canuto. Internet en este aspecto es como un árbol. Las hojas son nuestros routers pero según vas pa arriba son cada vez tubos mas gordos. Cuando intentas meter mas Gbps por el tubo de los que caben, en canuto se satura y empieza la perdida de datos. En un DDoS te llega parte de los ataques por un canuto y el resto por otros. Tu pones un filtro en cada canuto, descartas los paquetes malos dejando pasar los buenos (identificados por origen normalmente) y pa'lante. Pero aquí les llegan todas por el mismo canuto. Y de hecho según cuentan, como el canuto se satura antes de llegar a su filtro ellos apenas pueden hacer nada.
La imagen es solo un ejemplo sacado rápido de google images, ni idea de como de fidedigna es.
#3 Si, llevamos así desde la semana pasada, de vez en cuando sobre todo por las mañanas se pierden muchos paquetes, lo peor fue el viernes si no me equivoco, estuvimos asi toda la mañana con más del 50% de pérdidas y en muchos momentos con el 100%
#4 Parece que es un ataque a un sitio de Canadá pero originado en España.
#29 En realidad, y viendo que Telefonica de España es incapaz de apagar su incendio ( la botnet que le han creado ) se resolveria la saturacion aumentando el caudal entre las propias empresas de telefonica, que es el cuello de botella ( ya les vale ). Desgraciadamente les va a ser mas rapido trabajar con otros proveedores para enlazar su AS con el de Tiws via Frankfurt que dos empresas de Telefonica, con todo el politiqueo, se entiendan y hagan algo a la vez.
#51 Los virus se contagian por el ambiente o entre personas. Imagina que fuera en un traje antiepidemiológico, pues eso hago con mi PC. Las vacunas no consumen recursos de mi sistema inmune.
Pues los antivirus sí consumen recursos, como mucho hago un escaneo de vez en cuando. Y lo más importante, prevención. Yo no instalo mierdas ni gestores de descarga de Softonic.
#121 Nop, no he visto nada de lo que dices, solo alguna "presentación" el alguna CON, y alguna conversación con el mismo en alguna comida. Mi impresión personal sigue siendo la misma, no es ningún flipao.
#124 tenemos impresiones diferentes y gente que ha trabajado con él me ha dado la razón comentarios más atrás...
Sigo sin saber porque le llaman DoS y no DDoS. Ya que no importa los sistemas autónomos (ASXXXXX donde las X son números) sino que en el momento que proviene de una botnet, es un ataque distribuido, con lo cual es un DDoS. Ya que un DoS sólo puede venir de una única IP y un único equipo, en el momento que hay varios, ya es un DDoS.
OVH si dice que un DoS me imagino que se refiere a que sólo viene de una una ruta concreta, pero bueno sigue siendo un DDoS (incluso aunque toda esa infraestructura usada pertenezca a un sólo atacante. Ya que eso poco importa puesto que el que sea un DoS o DDoS tiene que ver con los equipos físicamente hablando no con las personas que los usen, por decirlo resumidamente) como muchos compañeros decís.
Por otro lado aunque el correo electrónico de OVH es más que claro. Lo cierto es que las empresas tienen la obligación de informar a los clientes de incidentes graves de seguridad. Y más dentro de unos años cuando entre en vigor el Reglamentos de Protección de Datos, La Directiva de e-Privacidad y la reciente aprobación de la Directiva de ciberseguridad, que obliga a esta clase de informaciones.
Sobre el tema de la responsabilidad. Que una persona tenga un ordenador zombie, no significa que no tenga cierta responsabilidad de que sea así. Mucha gente debería de mejorar sus conocimientos es seguridad y no sólo el poner un antivirus-cortafuegos o una suite de seguridad sino en no dejarse engañar por enlaces falsos y webs de dudosa legalidad.
Salu2
Que se jodan! A mi me jodieron en un proyecto teras de información por un error suyo de facturación. Cuidado con OVH, son un peligro y encima te tratan fatal después!
#165 #127 Hay algun articulo por ahi con un analisis del ataque?.
#3 de todas formas hay una página que muestra gráficos de latencia entre Telefonica y OVH
http://sbg.smokeping.ovh.net/smokeping?&target=EU.AS3352
#29 Eso dice la teoria pero las pruebas han mostrado que esos ataques han afectado a todos los operadores en mayor o menor medida. Se puede consultar el histórico en smokeping.ovh.net. No se si por generar trafico en el punto neutro de espanix o que...
#5 Pues debe ser tu caso porque si buscas un poco por internet te encuentras con lo mismo: buen servicio pero que el soporte técnico deja bastante que desear. En mi caso el servidor tuvo microcortes el Jueves, el Viernes noche se cayó y hasta el Lunes, que llame al dichoso 902, no tuve respuesta alguna. Además cuando llame me dijeron "no hay ninguna incidencia, ni la semana pasada" cuando sabía que era totalmente mentira. Y lo único que recibí es el email tipo que tenéis todos.
#3 Yo no he notado problemas, aunque en estos días sólo he accedidio via web a mis portales de aplicaciones.
#94 no, su primo
*erudito
#81 Será.. o no... Tal como viene explicado en un correo parece que solamente sucediese una vez. Sin embargo llevamos una semana bonita entre todos los operadores.
#23 los de kimsufi han enviado un email enorme explicandolo todo y pidiendo disculpas, mis dies para ellos.
#46 pues ese punto te lo puedo negar...
si el servidor tuvo problemas son independientes al ataque este, porque yo tengo ONO y en mi empresa administramos al menos una quincena de servidores en OVH (más los míos personales) y 0 problemas y 0 lentitud... y te puedo decir porque aparte de administrar los servidores estuve toda la semana trabajando en uno día y noche
#54 para mi un hacker que usa Windows no es un hacker, es un principiante...
Es box populi que los routers de timofónica tienen más agujeros de seguridad que un colador del chino. Es posible que el araque se genere directamente desde los routers que dan conexion a los clientes. Es mucho más fácil infectar un rango entero de routers que esperar a infectar a tantos clientes.
Ya que nos ponemos a especular con que son los clientes y no la gran T, que tal si le damos la vuelta y vemos una clara responsabilidad en la empresa al no mantener los routers en buen estado de seguridad?
Saludos
#2 éste no lleva el escudo ddos
#44 telefonica tiene varios escudos, uno de ellos España, pero protege destinos, no orígenes. Es técnicamente bastante complejo solucionar rápidamente un ataque así