OVH ha hablado hoy por fin de un ataque DOS que está dejando a varias webs completamente inaccesibles, incluida esta que estás leyendo (con suerte).

Si visitas Omicrono (o El Androide Libre) de manera habitual, tal vez te habrás dado cuenta que durante los últimos días hemos tenido algunas dificultades técnicas; aunque hemos intentado llevarlo lo mejor posible, la verdad es que no podíamos hacer mucho más que poner una vela al servidor.

Eso es porque en realidad no fuimos (somos) más que víctimas colaterales de un enorme ataque que está dejando al proveedor de alojamiento OVH sin respuesta. Pero, ¿a quién va dirigido este ataque y desde dónde se está realizando?

Usando un ataque pasado de moda

Esos eran los misterios a los que nos hemos enfrentado estos días, pero finalmente OVH ha dado señales de vida y ha confirmado la procedencia de los problemas que está sufriendo su red y las webs que están alojadas en sus servicios.

Resulta que todo es culpa de un ataque DOS (denegación de servicio) realizado desde la red de Telefónica de España; no, no es un DDOS (ataque distribuido de denegación de servicio).

DDoS-network-map

Normalmente cuando hablamos de ataques de denegación de servicio, hablamos de varios ordenadores, situados alrededor de todo el mundo, realizando peticiones constantes a un servidor a la vez. De esa manera el servidor no es capaz de responderlas todas y se bloquea.

En cambio, el ataque DOS que está sufriendo un centro de datos de BHS situado en Canadá no viene de varias fuentes al mismo tiempo, sino de una sola. Y si estás pensando que eso es muy simple, tienes razón; de hecho es tan simple que los ataques DOS simples como este han pasado de moda, ya que implica que los paquetes irán siempre por la misma ruta. Por lo tanto, es relativamente fácil cortar este tráfico malicioso.

Sin embargo, OVH ha explicado hoy que no es tan sencillo como cortar de sano, ya que en realidad lo que está pasando es que ese tráfico no llega a los servidores de la compañía; en vez de eso lo que se está saturando son los enlaces con Telefónica.

Lo interesante del ataque DOS que está dejando varias webs inaccesibles

ovh

El resultado es que los internautas que usen Movis tar o alguna de las operadoras que usen la red de Telefónica (como Orange o Jazztel), se encuentran con que no pueden acceder a las webs alojadas en OVH, porque sus peticiones ni siquiera llegan.

La maestría del ataque, si es que se le puede llamar así, es que lo que parece el ataque más simple que puedes imaginar en realidad está muy bien pensado. Para empezar, el atacante ha usado la red más grande, la que le ha permitido alcanzar tasas de 150 Gbps; los enlaces de OVH permiten un máximo de 130 Gbps.

ataque dos 1

No sólo eso, sino que en realidad OVH tiene salvaguardas dispuestas para soportar perfectamente ataques de 150 Gbps, pero para hacer eso tiene que recibir el ataque de varias redes al mismo tiempo; es decir, un DDOS. Al optar por un DOS simple proveniente de una sola red, el atacante ha conseguido saltarse las precauciones montadas por OVH, que sólo estaban pensadas para los ataques más comunes en la actualidad.

OVH ya ha anunciado que ha encontrado la manera de permitir el paso de paquetes del ataque DOS sin saturar los enlaces, pero hasta que no pasen unas horas no sabremos si funciona.