0

Ataque DDoS 30.04.2015

Los ataques DDoS, como tantas acciones malintencionadas que tienen lugar en la red, son impredecibles y buscan causar el mayor daño posible. Las empresas proveedoras de hosting web, por desgracia, son un objetivo especialmente codiciado: alojamos las webs de miles de clientes, por lo que el perjuicio causado supera al de un ataque a casi cualquier otro tipo de compañía. Es una lucha constante para toda gran empresa: Sony, Github, 1and1, Rackspace, Dinahosting, Microsoft… Todas han caído por culpa de ataques sufridos en los últimos meses.

 

Durante la tarde del 30 de mayo, estuvimos bajo uno de estos ataques, que afectó a los clientes de uno de nuestros centros de datos. Nos parece que lo más normal es publicar un resumen sobre lo ocurrido, explicando lo que hicimos para proteger las webs que están a nuestro cargo. Sabemos la responsabilidad que implica que, ya tengas un negocio o seas particular, dejes tu web en nuestras manos.

 

30.04.2015

15:24 – Detectamos un ataque inicial. Los técnicos detectan un ataque hacia uno de nuestros servidores. Su objetivo es saturar la conexión e impedir que se pueda acceder a las webs que contiene. Lo mitigan y controlan la situación sin perjuicio para nuestros clientes, que no llegan a darse cuenta de lo ocurrido. Esto es algo habitual en su trabajo, lo hacen todos los días.

 

15:45El ataque se diversifica y su potencia aumenta. Parece que hoy no lo van a poner fácil: los técnicos detectan múltiples ataques hacia distintos servidores, de modo que el departamento de Sistemas debe coordinar su trabajo con los proveedores de red para tratar de controlarlos. En muy poco tiempo, el ancho de banda del ataque aumenta drásticamente y el tráfico entrante en nuestra red es más de 10 veces el habitual y solo en cuestión de 5 minutos, superando así la capacidad de nuestras entradas de datos. A pesar de los esfuerzos de Sistemas, las páginas web de parte de nuestros clientes ya no son accesibles, aunque técnicamente están online. Siguen trabajando para defendernos.

 

16:01Llega el momento de comunicárselo a los clientes. Empezamos a informar a través de las redes sociales, ya que es el canal más directo que nos permite alcanzar a un gran número de gente con una misma comunicación. En estos casos, la comunicación personalizada se complica debido al alto número de contactos. Además, el sistema de Tickets y nuestra propia web también están siendo atacados y no funcionan con normalidad, por lo que debemos atender un alto número de llamadas de personas muy preocupadas.

 

17:22Aplicamos medidas especiales sobre los servidores más afectados. Ante la potencia excesiva del ataque, el equipo de Sistemas debe tomar una decisión para restablecer la mayor cantidad de servicios posible cuanto antes. Decide cortar la conectividad de 4 servidores específicos que están siendo atacados de forma escalonada y con saña (uno de ellos, el nuestro propio). Gracias a esta “cuarentena” esperan poder levantar la plataforma y empezar a dar servicio al resto de clientes, mientras continúan trabajando para una solución definitiva. Su prioridad es que todos los clientes puedan acceder a sus webs cuanto antes.

 

19.50Recuperamos la conectividad para la mayor parte de afectados. La cuarentena funciona, ya que la infraestructura de red a nivel europeo de Host Europe permite a Sistemas monitorizar el desarrollo de un ataque y desbloquear a medida que un servidor empieza a estar a salvo. Las páginas de nuestros clientes empiezan a estar online: hemos recuperado el acceso para el 96% de nuestros clientes, pero aún hay 3 servidores inactivos. Los ingenieros empiezan a trabajar para poder retirar sus bloqueos cuanto antes. El sistema de Tickets se ha recuperado, al detenerse los ataques a nuestro servidor, y ya se pueden atender los que han llegado. Es un gran número de contactos, pero no queda ninguno sin respuesta esta noche.

 

00:00Las líneas de comunicación con los clientes siguen funcionando. Utilizamos nuestra página de Notificaciones para informar de los servidores que continúan afectados y de sus correspondientes IP, para que así los usuarios puedan saber si se trata de la máquina en la que está alojada su web. Los técnicos comunican por Ticket a los clientes afectados qué está pasando con sus webs y por qué no se les ha restablecido el servicio todavía. Al mismo tiempo, seguimos atendiendo consultas en las redes sociales.

 

1.05.2015

A partir de este momento, los técnicos siguen en contacto continuo con nuestros centros de datos y proveedores de conexión para detener del todo el ataque y poder devolver a esos 3 servidores a la normalidad, como ya se ha logrado para el resto de clientes. A medida que remiten los ataques y están seguros de que al reactivar los servidores no van a afectar al resto de la infraestructura, levantan progresivamente y con toda cautela el bloqueo a los 3 servidores afectados.

 

12:10Las pruebas de desbloqueo tienen éxito. Por fin los proveedores de red pueden acceder a las webs de los servidores en cuarentena que, poco a poco, ya están visibles para todo el mundo. Los ingenieros van comprobando, desde distintos puntos de acceso, que todo ha vuelto a la normalidad.

 

14:02Los últimos afectados ya pueden acceder a sus sitios. Sistemas confirma que todas las webs están ya disponibles para todos los proveedores. En Soporte se centran en hacer llegar la información de forma personalizada a cada cliente.

 

Este es el proceso completo que hemos seguido en esta incidencia, minuto a minuto. A lo largo de este año, hemos estado invirtiendo recursos y esfuerzo en la securización de nuestras plataformas, en nuevas formas de proteger el tráfico hacia las webs de nuestros clientes. Seguiremos trabajando en la misma línea para asegurarnos de minimizar las consecuencias que provocan estos ataques y priorizando la obtención de una solución definitiva. Todo el equipo seguirá trabajando sin cesar hasta conseguir este objetivo.

 

También queremos agradecer la confianza de cientos de clientes que nos han dado todo su apoyo durante estas horas. ¡Muchas gracias a todos por vuestra ayuda!

Andrea Barreiro

Andrea Barreiro

Andrea trabaja en Host Europe desde 2012. Es parte del equipo de marketing y supervisa la actividad en redes, el blog, actualiza la web, gestiona el email marketing y desarrolla otras iniciativas con nuestros clientes.

More Posts

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *