De DoS en DoS

Infografia DDoS Público

Como sin duda prácticamente todos sabéis, la semana pasada nuestro blog Genbeta sufrió un fuerte ataque de denegación de servicio (DDoS). Los ataques han durado algo más de una semana. Durante los primeros días fueron relativamente suaves, hicieron que nuestros blogs fueran lentos, pero no los tiraron. El día 7 el ataque fue mucho más intenso (varios gigas de tráfico UDP entrante) y tumbó el datacenter de NTT durante unos instantes. A partir de ahí Genbeta quedó desenrutada hasta que volvimos a conectarla por otros medios el día 9 por la noche. Ese mismo día 9, por la mañana, tuvimos caídos todos los blogs durante tres horas. Las mismas personas también atacaron Meneame por hacerse eco de nuestro ataque.

La respuesta de solidaridad de toda la blogosfera fue masiva y muy impresionante. Si querían ocultar algo, consiguieron el efecto contrario. También consiguieron dos denuncias ante la brigada de delitos telemáticos de la Guardia Civil en España y otra en Argentina. Fue también muy importante la solidaridad recibida por medio de emails, mensajes de twitter, ofrecimientos de ayuda para montar la defensa o para identificar a los agresores. En especial de agradecer la colaboración de Carlos González-Cadenas y Sergio Berná que pasaron buena parte de la tarde del sábado ayudándonos a configurar mejor el firewall.

Lo primero que llama la atención es que dos o tres chavales sean capaces de infringir daños de este estilo valiéndose de redes de ordenadores controlados remotamente. Y no se trataba sólo de PCs personales infectados, había también servidores con anchos de banda bastante importantes. Al final el no tener buena política de seguridad propia acaba afectando a los demás.

Por otra parte, otra cosa que hemos aprendido de un modo muy amargo, es que es importante saber que en casos como estos cuentas con el apoyo de tu proveedor de alojamiento web, que suele ser tu principal partner tecnológico. Que ve el ataque contra ti como algo también contra él y que está dispuesto a defenderte de él. Esto, que parece de perogrullo, en realidad no lo es tanto. En nuestro caso nos encontramos con que nuestro proveedor no nos apoyó con medidas elementales de defensa. Las mismas que Ferca, el proveedor de Meneame, sí implementó y que consiguieron frenar el ataque. De hecho, buena parte del downtime fue ocasionado directamente por medidas tomadas por nuestro proveedor.

Nuestros técnicos no me dejan contar con demasiado detalle las medidas que hemos tomado para protegernos, pero de modo muy general consisten en ampliar mucho la capacidad de absorción de tráfico y en repartir activos para reducir riesgos. Si alguien tiene un problema de este estilo y quiere información más detallada, que se ponga en contacto conmigo y se la proporcionaré gustoso. Hemos tenido que cambiar la arquitectura tecnológica que llevábamos ajustando durante más de un año a toda prisa y en un fin de semana. Lógicamente, todavía hay algún que otro fallo que vamos ajustando según los detectamos.

Al menos nos queda el consuelo de que, después de una semana muy intensa, ahora tenemos un sistema mucho más potente, más resistente y más ágil. Y que tenemos un CTO que es un crack.

Infografía | Público



5 Pingbacks / Trackbacks