Estimados/as clientes:En el servicio que ofrecemos a nuestros clientes incluimos la gestión de ataques DDoS, que consiste en recibir los ataques DDoS y mitigarlos. Para ello, tenemos mucha capacidad de red con internet (7.500 Gbps) y hemos desarrollado el VAC, que permite mitigar los DDoS. Anteriormente ya hemos recibido y mitigado con éxito ataques DDoS de 800 Gbps.Desde hace varios días, estamos recibiendo un ataque procedente de una red en concreto, la del operador histórico español: Telefónica. Este ataque está dirigido a un cliente en particular que está alojado en nuestro centro de datos de BHS (Canadá).No se trata de un ataque DDoS (Distributed Denial of Service), sino DoS (Denial of Service), ya que no es distribuido: el ataque no procede de varios lugares del mundo, sino de uno concreto, por lo que utiliza una ruta específica: AS3352 Telefónica de España <> AS12956 Telefonica International <> AS16276 OVH.Nuestros enlaces de conexión con AS12956 son los siguientes:
• 30G + 20G en Madrid
• 40G en París
• 20G en Ashburn, VA
• 20G en Miami, FL
Es decir, tenemos un total de 130 Gbps con AS12956. Sin embargo, el DoS que recibimos es de 150 Gbps. Normalmente podemos recibir sin problema 150 Gbps, si se trata de un DDoS que procede de Asia, Europa y EE.UU. al mismo tiempo. Cada parte de la red recibe una parte del DDoS y cada VAC mitiga una parte del DDoS.En este caso, los hackers utilizan específicamente la red de Telefónica de España para enviar un ataque de gran envergadura. El tipo del DoS es muy básico, de modo que podríamos mitigarlo sin problemas, pero, en este caso concreto, no podemos, ya que no llegamos a recibirlo: los enlaces que tenemos con Telefonica International se saturan antes.Lo primero que hicimos fue cortar los anuncios BGP con AS12956 para utilizar otros enlaces que tenemos con internet y hacer llegar el tráfico por AS5511 OpenTransit <> AS3352 Telefónica de España <> AS12956 Telefonica International <> AS5511 OpenTransit <> AS16276 OVH.Tenemos 1x 100G con OpenTransit (OTI) en Frankfurt. El ataque saturó el enlace que tenemos con OTI, causando que se vieran afectados otros ISP de España, ya que utilizamos OTI para recibir el tráfico desde Orange España, Jazztel, etc. Entonces cortamos los anuncios BGP con AS5511.El tráfico nos llega ahora por Level3 AS3356 <> AS3352 Telefónica de España <> AS12956 Telefonica International <> AS3356 Level3 <> AS16276 OVH.Con Level3 tenemos 800 Gbps de capacidad y varios enlaces de 200 Gbps, de modo que ya podemos recibir este DoS de 150 Gbps. El problema es que entre AS12956 y AS3356 no hay suficiente capacidad para permitir el paso del DoS sin saturar los enlaces entre los operadores.Seguimos trabajando para solucionar el problema. Estamos en contacto con AS12956, que ha solicitado a AS3352 que apague la red de botnets que origina el DoS. También modificamos nuestras respectivas configuraciones para permitir que el DoS pase entre AS12956 y AS16276.No podemos ofreceros más detalles, ya que esta intervención será leída por los hackers que han realizado el DoS y utilizarán esta información para saltarse las medidas que implementemos. Esta es también la razón por la que no hemos creado hasta ahora la tarea enTravaux. En los casos de (D)DoS, cuantos menos datos demos, menos incentivamos a los hackers y mejor gestionamos los ataques, pero, teniendo en cuenta cómo está afectando a nuestros clientes españoles, debíamos informaros sobre el origen del problema.Hemos encontrado la forma de permitir el paso del DoS sin saturar los enlaces. En las próximas horas veremos si aguanta. En cualquier caso, estamos manteniendo conversaciones con Telefonica International para aumentar las capacidades con su red. También vamos a instalar un nuevo router en Madrid antes de lo que estaba previsto (octubre en lugar de marzo). Esto nos permitirá conectar en octubre en 200G con Telefónica, mejorar Espanix en 2x 200G, OpenTransit en 200G y tener estas mismas mejoras con Telia y Cogent. Paralelamente, vamos a añadir más enlaces con Telefónica, especialmente en París de 200G y Ashburn, VA, de 200G.Los hackers han conseguido encontrar una debilidad en nuestra red. Vamos a subsanarla lo antes posible. Esta experiencia nos servirá para mejorar aún más la protección que ofrecemos a nuestros clientes por defecto en nuestros servicios.Sentimos sinceramente los inconvenientes generados para los visitantes procedentes de Telefónica de España.