27 junio 2011

DDoS contra Movistar.es ¿Causada o preparada?

Desde la semana pasada Anonymous había convocado y anunciado un ataque de Denegación de Servicio para el domingo 26 de Junio a las 16:30 hora peninsular española. La causa, el despido salvaje que la multinacional española tiene previsto llevar a cabo, dejando en la cola del INEM a nada menos que 8.500 empleados a lo largo de los próximos cinco años.


Para ello, todos aquellos simpatizantes de Anonymous que estén de acuerdo con que es un hecho ante el que hay que manifestarse en contra (quién puede no estar en contra de una barbaridad así), apuntarían sus armas LOIC contra la web de movistar.es como señal de protesta en la fecha/hora señalada.

Evidentemente, los departamentos correspondientes de Movistar, también están enterados y deberían prepararse para el ataque.

Hace unos días, en lainformacion.com, publicaron un artículo en el que nos preguntaban a Chema Alonso y a mí sobre los ataques de Denegación de Servicio, su funcionamiento, y si existían contramedidas.
Aprovechando el hilo del correo que nos enviaban desde lainformacion.com, me estuvo contando Chema Alonso los mecanismos y dispositivos de los que dispone Telefónica/Movistar para mitigar o detener con efectividad este tipo de ataques de Denegación de Servicio.
Ambos coincidimos en que, ya sea usando Akamai como cache o Amazon EC2 como mecanismos de clústering, es posible lograr una protección efectiva (aunque bastante cara) para este tipo de ataques. La conversación con Chema quedó en un: "Bueno pues a ver si resiste Movistar ante la oleada de peticiones de este domingo".

Ayer por la tarde, a eso de las 18:00, la web de Movistar.es ofrecía en su momento de carga una página como el que veis bajo estas líneas:


Sin embargo, era la propia web de Movistar quien servía esta imagen, lo que quiere decir que NO estaba bajo una Denegación de Servicio en ese momento

A eso de las 18:00, contactaba con nosotros José Manuel Rodríguez, coordinador de Medios Sociales de lainformacion.com para conocer nuestra opinión para incorporarla al seguimiento del ataque.

Me gustaría ampliar lo que se publicó en el enlace anterior, ahora con más tranquilidad y detalle:

  • La resolución DNS de www.movistar.es devuelve una única IP: 81.47.192.13. Lo que indica un único punto de entrada a la web.
  • Está claro que Movistar no tiene un único servidor para atender las peticiones de www.movistar.es (y que mucho menos es una sola máquina), por lo que suponemos que será una IP de clúster de servidores, posiblemente nateados por un potente clúster de firewalls o más probablemente de balanceadores.
  • Si efectuamos una consulta a www.movistar.es desde el navegador utilizando Tamper Data para ver las cabeceras, se observa que una de las mismas que devuelve movistar.es, es "Via 1.1 proxy-srnav2np10" y "Proxy Agent Sun-Java-System-Web-Proxy-Server/4.0.2". Esto quiere decir que hay algún elemento intermedio que hace la petición por nosotros hasta el servidor web que corresponda. Esto puede ser un WAF, un balanceador, una caché o simplemente un proxy inverso.
  • Puede que hayan tenido alguna incidencia en alguno de los servidores web (por un excesivo número de peticiones o por cualquier otro motivo) y que mostrara un "sencillo error de página no encontrada" y que ciertas peticiones entraran y se sirvieran correctamente por un servidor que no mostrase problemas.
  • Otra forma de verlo es que la propia gente de Movistar modificó la web, de manera que en vez de tener que servir todos los contenidos de la web, ante una "legión" de peticiones de Anonymous, prefiriesen servir una única página con sólo un corto texto referido a un sencillo mensaje de error.
  • De esta manera podrían luego decir que el DDoS de Anonymous no tuvo efecto alguno en la infraestructura. Desde un punto de vista de pérdida de recursos, es cierto, las peticiones no fueron suficientes para colapsar el servicio web puesto que eran los servidores de Movistar los que servían la "página de error", teniendo recursos y ancho de banda suficiente para hacerlo. Si fuese un DDoS por agotamiento de ancho de banda, no habría respuesta. Sin embargo, puede haber sucedido que lo que haya muerto, sean las máquinas que haya detrás de los servidores web y que siempre devolvieran la página de error mencionada.
  • De todas formas, el efecto es el deseado igualmente, la web de Movistar no da el servicio informativo a sus clientes. Disclaimer: Al menos cuando yo probé, la web de Movistar contestaba a las peticiones, no se notaba ralentización en las conexiones ni que hubiera conexiones que no se llevaran a cabo. Quizá previamente sí que existiera este tipo de comportamiento.
  • Al rato de ponerme a mirar, la página principal se servía correctamente, sin embargo, si pulsabas en cualquiera de los enlaces, ibas a parar a la citada página de error.
En algunos medios de comunicación, se decía que la web de movistar.es había sido tumbada y había quedado inaccesible. La verdad es que yo no llegué a ver esa parte, sino que realmente los servidores de Movistar, contestaban correctamente, incluso bastante rápido. No pude comprobar si cacheaban contenidos en Akamai, como también se pudo leer por twitter, aunque no lo parecía. 
En otros medios se indicaba que no había tenido tanta incidencia como se pretendía y que los mecanismos de defensa utilizados por Telefonica, habían sido efectivos.

La verdad, como en muchos otros casos, nunca la sabremos! Lo que está claro es que en Movistar estaban preparados para hacer frente a la cantidad de peticiones que se venían encima, aunque fuera suicidando el servicio ellos mismos (siempre y cuando mi razonamiento haya sido correcto) para evitar males mayores, como sucedió en el caso del DDoS a la SGAE el año pasado, deshabilitando la ruta. Para la siguiente las mejores opciones: Akamai, Amazon EC2 o CloudFlare como hizo Lulzsec.

12 comments :

Telefonico dijo...

Interesante post, como es norma en este blog por otra parte.

Aunque sea salirnos un poco de la temática, una pequeña puntualización sobre el "despido salvaje" que ha motivado el ataque: es un ERE voluntario que se resolverá con prejubilaciones (prejubilaciones cuyo coste asumirá íntegramente la propia compañía). De hecho, va a haber bofetadas para apuntarse ya que el colectivo al que va dirigido al ERE asciende a más de 20.000 empleados por 6.500 bajas (y no 8.500) y las condiciones que la compañía ofrece, a la vista de la evolución del mercado laboral, no las volveremos a ver.

Si los integrantes de Anonymous nos hubiesen preguntado a los empleados de TEF les hubiésemos dicho que en esta ocasión se quedaran quietecitos y que destinen sus loables esfuerzos a otras causas que lo requieran.

Gustavo dijo...

Pregunta de Dummie: Yo tengo ONO ADSL en casa (también llamado ULL) con las DNS de Telefónica. Desde ayer por la tarde no puedo navegar, tiene que ver con esto??

Se solucinaría cambiando las DNS en la configuración de mi PC?

Gracias de antemano.

Yo dijo...

"La verdad, como en muchos otros casos, nunca la sabremos! Lo que está claro es que en Movistar estaban preparados para hacer frente a la cantidad de peticiones que se venían encima, aunque fuera suicidando el servicio ellos mismos"

Si tuvieron que "suicidar" el servicio es q no estaban preparados (aunq a saber q significa estar preparado ante un DDOS) y el ataque de DENEGACIÓN DE SERVICIO tuvo éxito ya que movistar.es no pudo ofrecer sus servicios.

Invitado dijo...

La verdad es que me parece increíble que se pueda hacer una ERE de esas dimensiones... no conozco las condiciones que serán todo lo buenas que quieran para los Telefónicos pero la idea q tengo de un ERE es q esas 6.500 personas van a estar cobrando el paro 2 años y no van a cotizar a la S.S.

Por lo tanto que nos cuesta a todos el ERE de Telefónica??

Lorenzo_Martinez dijo...

La verdad es que será maravilloso un ERE de estas características para algunos. Lo que habría que ver es si lo es para todos! No obstante, hay que sumar además un problema de imagen el que una compañía como Telefónica haga un plan así para cepillarse a 8500 personas.
Saludos, I.

Lorenzo_Martinez dijo...

Por lo que yo recuerdo de ONO, los DNS llegaron a estar configurados de manera que no contestaban a peticiones de usuarios que no fueran clientes de ONO. El caso contrario, que es lo que tú describes, no me suena que estuviera prohibido. No obstante, has probado con los DNS de ONO??? Quizá te puedan orientar mejor en sitios como http://bandaancha.eu/

Lorenzo_Martinez dijo...

Por lo que he leido en otras publicaciones, por lo visto debió existir como media hora de no-servicio por asfixia de recursos de máquina. Esto fue antes de las 18:00 que fue cuando me senté a mirar. En ese rato sí que contestaba el servidor, pero con una página de error. Quizá haya habido realmente un DoS que lo que hizo fue colapsar los servidore de backend y, al no responder correctamente, los servidores mostraban la página 404.

Kelect dijo...

No hay bofetadas para apuntarse al ERE, como tampoco los hubo en ERE's pasados. Prueba de ello es que hay telefónicos rondando los 60's que se podían haber acogido a ERE's pasados y no lo hicieron

Kummp dijo...

me parece que a esos dos años de paro contribuirá la propia Telefónica;
además, también creo que sí contribuirán a la SS.. de hecho, un problema que tiene este tipo de ERE's para quien se acoge a él, es que habrá VARIOS AÑOS en que la parte de SS que ha de pagar la empresa, la pagará el acogido al ERE de su propio bolsillo.......

umask.0xd dijo...

Han mejorado las condiciones pero siguen siendo peores que en el 2003, y como dice Kelect no hubo bofetadas para apuntarse, como para que además nos tengamos que creer que es algo estupendo una reducción de personal:
http://www.elpais.com/articulo/economia/Telefonica/supera/10000/millones/beneficio/plusvalias/Vivo/elpepieco/20110226elpepieco_7/Tes
10.000 millones de beneficio saben a poco..
A mi me recuerda a aquel anuncio de Mixta.. "tu lo que estas viendo es un cerdo volando"... hehehe
http://www.youtube.com/watch?v=K764oJjVJ0A

Atito dijo...

¿Por qué el ataque no se coordina para un lunes o día de semana que el acceso a la web realmente moleste a los clientes? No estoy de acuerdo ni en contra contra estas medidas de protesta, pero me pregunto eso nada más.

Sales dijo...

Tanto si la parada fue programada o provocada, el exito del ataque es incuestionable. Aqui se maneja mucho un par de palabrejas que son "lucro cesante" y no es el dinero que pierdes sino el dinero que se deja de ganar por indisponibilidad de algun servicio.