El conocido proveedor de hosting y servicios de redes OVH está sufriendo un ataque masivo a su red por parte de una botnet que actúa desde la red de Telefónica España. El ataque es de tipo DoS (Denial of Service) y no DDoS (Distributed Denial of Service) porque todo el ataque procede desde ordenadores infectados en la red de Telefónica España y no desde distintos lugares.
|
etiquetas: ovh , telefonica , dos , botnet
Estimados/as clientes:
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España <> AS12956 Telefonica International…...
Lo que tienen que hacer es ponerse en contacto con OVH para obtener una lista de las IP's desde las que se ha lanzado el DoS, averiguar sus propietarios y contactar con ellos para avisarles que tienen un problema con sus equipos conectados a su red, que están siendo usados de manera ilícita para sabotear redes y servidores, y ya puestos, advertirles que sus equipos están en riesgo por estar bajo el control de otros.
Cosas aparte, ¿ya han identificado qué tipo de botnet es la causante?. Lo extrañamente curioso es que sólo se circunscribe al ámbito Telefónica España (o sea, España). ¿Acaso es una botnet que sólo afecta a usuarios españoles residentes en España y conectados a redes de Movistar?. Pues que me aspen pero sería una botnet de lo más raro raro raro que jamás haya visto en mi vida. Esto me parece que va a traer algo de debate en el mundillo de la seguridad informática.
www.redeszone.net/2011/01/25/listado-de-rangos-de-ip-utilizados-por-lo
sbg.smokeping.ovh.net/smokeping?&target=EU.AS3352
El nivel de detalle del correo de OVH es para que se te caigan las pelotas al suelo.
<<
Estimados/as clientes:
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España <> AS12956 Telefonica International <> AS16276 OVH.
Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
... Y continua ...
>>
Estimados/as clientes:
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España <> AS12956 Telefonica International <> AS16276 OVH.
Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.
En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.
Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit <> AS3352 Telefónica de España <> AS12956 Telefonica International <> AS5511 OpenTransit <> AS16276 OVH.
Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.
El tráfico nos llega ahora por Level3 AS3356 <> AS3352 Telefónica… » ver todo el comentario
Según el correo, lo que han decidido es aumentar el tamaño de la conexión para intentar que no se forme ese cuello de botella. Pero eso será en Octubre.
www.security-faqs.com/dos-vs-ddos-what-is-the-difference.html
Ningún Devops con dos dedos de frente haría semejante barbaridad nunca. Lo de peinar rangos enteros a lo yipi-yai hijos de puta queda bien en las películas de hackers pero en la vida real...
Al menos en mi caso ha sido un infierno.
El ataque se está realizando contra un cliente que tienen en Canadá según dicen.
- La bootnet solo usa equipos en la red de telefónica, para saturar el enlace de ovh con telefónica (150G/s), si fuera distribuido tienen mucho mas ancho de banda y no lo podrían saturar con este ancho de banda.
- Los equipos infectados son clientes de telefónica y por tanto responsabilidad de telefónica, si no cumplen con la legalidad, se les corta la conexión hasta que lo resuelvan.
- Es un ataque de inundación de trafico y por tanto al 99% estará espufeadas las IPs origen (falsificadas) con lo que no se puede filtrar una dirección IP, además el problema no está en OVH, si no que los enlaces ya llegan saturados de trafico y solo telefónica podría filtrarlo antes de salir de sus redes (por mucho que cierre la puerta de mi casa, de poco va a servir si la gente se agolpa en la puerta para entrar)
A mi juicio, telefónica es un colaborador necesario de este ataque, eso si, estoy convencido que es incapacidad y no malicia, pero bueno, viniendo de telefónica quien sabe.
Y se a ciencia cierta que daba igual Movistar que Vodafone que Ono porque tampoco podían entrar.
Estimados/as clientes:
En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.
Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).
No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España <> AS12956 Telefonica International <> AS16276 OVH.
Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.
En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.
Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit <> AS3352 Telefónica de España <> AS12956 Telefonica International <> AS5511 OpenTransit <> AS16276 OVH.
Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.
El tráfico nos llega ahora por Level3 AS3356 <> AS3352 Telefónica de España… » ver todo el comentario
Lo que han dicho arriba creo. En el correo ponen que lo tienen casi solucionado pero que no quieren poner más información para no dar pistas a los malos.
Dicho esto, considero que es incorrecto decir que no es un DDoS.
Estamos ante un hacker malicioso que quería mandar mucho tráfico a un cliente para saturarle y ha usado la red que ha creído más oportuna inyectando una gran cantidad de tráfico. El ataque no ha tenido el resultado esperado porque los enlaces se han saturado antes de saturar el servidor o servidores destino o los equipos de red próximos al mismo.
Seguramente los delicuentes (no tiene otro nombre quien se dedica a hacer estas cosas) tiene infectados numerosos equipos que son clientes de Telefónica (y de otras operadoras del grupo en el mundo) y los han utilizado para atacar a un objetivo. Esos equipos no son propiedad de telefónica, lo son de los usuarios que mantienen versiones antiguas o bien el delinciente ha aprovechado una vulnerabilidad aún no parcheada para hacerse con el control de los equipos.
Pues sí, todos los ordenadores de la red de telefónica que participan en el ataque están en un mismo lugar: España. ¿cuál es el problema?
En cuanto a si es DDoS o DoS, supongo que lo nombran así para hacer distinción con un DDoS distribuido entre varias redes o países distintos, algo que sí podrían soportar.
Si equipos de muchos países pertenecen a redes conectadas entre si y todas comunican con la misma red de transporte que a su vez comunica con el objetivo del ataque y va todo enrutado por ahí para el defensor sigue sin ser distribuido. Incluso aunque el atacante haya tenido que lograr vulnerar las medidas de seguridad por separado de cada una de las redes donde están los equipos que quiere usar para atacar. Puede que con esa botnet atacando a otro objetivo distinto el etaque si que sea distribuido porque los clientes de una partición de red conectan por un enlace distinto que los de la otra partición de la red.
Tu no lo discutiste pero el que redactó esa frase sí, y si el ataque son de maquinas conectadas en diferentes lugares aunque sea de la misma red, es un DDoS.
O es muy listo y ha pensado en joder los enlaces y liarla parda dejando en ridículo el sistema de mitigación de OVH apuntando desde una sola red a pesar de que su red de botnet se extiende mucho más allá haciendo daño a todo el trafico de un país tan grande como España (no es poca cosa).
O... es un fallo en los routers/ont/algo de telefónica que permite generar trafico a voluntad de un atacante.
Por desgracia y como cliente de telefónica me temo que va a ser la segunda por que me parece demasiado rebuscado, sin precedentes, planeado y brillante el primer caso.
Así que la navaja de un señor nos dice que probablemente hay un fallo en los firmware de telefónica, en alguna web de clientes en la app o "ves a saber" pero algo así donde alguien ha podido meter un iframe con refresh o cualquier mierda así para generar ese tráfico desde "una sola red" que más bien será "desde la red vulnerable" me temo.
Vamos a pensar un poco como los malos. Si quiero equipos conectados a la red permanentemente donde el usuario no esté no esté instalndo parches o versiones voy a por los equipos de red. A ser posibles los que más extendidos estén. Sabemos que por ejemplo el Dark Hotel infecta equipos wifi vulnerables al menos desde 2012. Lo instalan en hoteles de cinco estrellas para espiar a otras personas que están en esa red.
Por tanto sabemos que los equipos de red son vulnerables. Los router domésticos son ordenadores muy baratos conextados a red, donde el usuario no formatea nunca ni mete mano, más allá de abrir algún puerto ocasionalmente. Si yo fuera el malo me dedicaría a buscar vulnerabiliades en los router chinos de las operadoras para ver como puedo tener el control remoto de los mismos o como la operadora actualiza el firmware de los mismos para poder instalar mi rootkit de la misma forma que la operadora los actualiza.
Pues los antivirus sí consumen recursos, como mucho hago un escaneo de vez en cuando. Y lo más importante, prevención. Yo no instalo mierdas ni gestores de descarga de Softonic.
Como si esto fuera pulsar un botón y ya está. Mucho flipado mediático y mucho experto como dice #54.
¿Como coño va a ser responsabilidad de Telefonica lo que hagan sus clientes con sus ordenadores?
Encima telefónica tiene una empresa de hostings que no le va muy bien ya que el servicio técnico que tienen es lamentable www.acens.com
pues las aceptas cada vez que contratas un servicio de telecomunicaciones, se incluyen detallitos como que no harás cosas ilegales, mas que nada por que al que van a pedir responsabilidades es al operador, y este deberá investigar y resolver la incidencia.
¿Porque? No se cae y su servicio técnico es magnifico.
*erudito